Los actores de amenazas están utilizando cada vez más un kit de phishing como servicio (PhaaS) llamado EvilProxy para llevar a cabo ataques de toma de cuentas dirigidos a ejecutivos de alto rango en empresas prominentes.
Según Proofpoint, una campaña híbrida en curso ha aprovechado este servicio para atacar a miles de cuentas de usuarios de Microsoft 365, enviando aproximadamente 120,000 correos electrónicos de phishing a cientos de organizaciones en todo el mundo entre marzo y junio de 2023.
Casi el 39% de los cientos de usuarios comprometidos se dice que son ejecutivos de nivel C, incluidos CEOs (9%) y CFOs (17%). Los ataques también han apuntado al personal con acceso a activos financieros o información sensible. Al menos el 35% de todos los usuarios comprometidos tenían habilitadas protecciones de cuenta adicionales.
Estas campañas se consideran una respuesta a la creciente adopción de la autenticación de múltiples factores (MFA) en las empresas, lo que ha llevado a los actores de amenazas a evolucionar sus tácticas para eludir las nuevas capas de seguridad incorporando kits de phishing de intermediarios del adversario (AitM) para robar credenciales, cookies de sesión y contraseñas de un solo uso.
"Los atacantes utilizan nueva automatización avanzada para determinar con precisión en tiempo real si un usuario que ha sido víctima de phishing es un perfil de alto nivel, y obtienen de inmediato acceso a la cuenta, mientras ignoran perfiles de phishing menos lucrativos", dijo la empresa de seguridad empresarial. EvilProxy fue documentado por primera vez por Resecurity en septiembre de 2022, detallando su capacidad para comprometer cuentas de usuarios asociadas con Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo y Yandex, entre otros.
Se vende como una suscripción por $400 al mes, una cifra que puede aumentar a $600 para cuentas de Google. Las herramientas PhaaS son una evolución de la economía del cibercrimen, reduciendo la barrera para que los delincuentes con habilidades técnicas más bajas realicen ataques de phishing sofisticados a gran escala de manera sencilla y rentable.
"Hoy en día, todo lo que un atacante necesita es configurar una campaña usando una interfaz de apuntar y hacer clic con opciones personalizables, como detección de bots, detección de proxies y geovallado", dijeron los investigadores de seguridad Shachar Gritzman, Moshe Avraham, Tim Kromphardt, Jake Gionet y Eilon Bendet. "Esta interfaz relativamente simple y de bajo costo ha abierto una puerta a una actividad de phishing exitosa con MFA".
La última ola de ataques comienza con correos electrónicos de phishing que se hacen pasar por servicios confiables como Adobe y DocuSign para engañar a los destinatarios y hacer que hagan clic en URL maliciosas que activan una cadena de redirección de múltiples etapas para llevarlos a una página de inicio de sesión de Microsoft 365 falsa, que funciona como un proxy inverso para capturar sigilosamente la información ingresada en el formulario.
Pero en un giro curioso, los ataques omiten deliberadamente el tráfico de usuario que proviene de direcciones IP turcas, redirigiéndolos a sitios web legítimos, lo que indica que los operadores de la campaña podrían estar ubicados en el país. Un éxito en la toma de la cuenta es seguido por el actor de amenazas tomando medidas para "afianzar su posición" en el entorno de nube de la organización al agregar su propio método de MFA, como una aplicación de autenticador de dos factores, para obtener acceso remoto persistente y realizar movimientos laterales y proliferación de malware.
El acceso se monetiza aún más para llevar a cabo fraudes financieros, extraer datos confidenciales o vender las cuentas de usuario comprometidas a otros atacantes. "Las amenazas de proxy inverso (y EvilProxy en particular) son una amenaza potente en el panorama dinámico de hoy y están superando a los kits de phishing menos capaces del pasado", dijeron los investigadores, señalando que "ni siquiera MFA es una solución definitiva contra amenazas sofisticadas basadas en la nube".
"Aunque el vector de amenaza inicial de estos ataques se basa en el correo electrónico, su objetivo final es comprometer y explotar cuentas de usuario valiosas en la nube, activos y datos". Este desarrollo se produce cuando Imperva reveló detalles de una campaña de phishing de origen ruso en curso que tiene como objetivo engañar a posibles objetivos y robar su información de tarjetas de crédito y bancaria desde al menos mayo de 2022 a través de enlaces tramposos compartidos a través de mensajes de WhatsApp.
La actividad abarca 800 dominios de estafa diferentes, haciéndose pasar por más de 340 empresas en 48 idiomas. Esto incluye bancos conocidos, servicios postales, servicios de entrega de paquetes, redes sociales y sitios de comercio electrónico.
"Al aprovechar una aplicación de una sola página de alta calidad, los estafadores pudieron crear dinámicamente un sitio web convincente que se hizo pasar por un sitio legítimo, engañando a los usuarios y dándoles una falsa sensación de seguridad", dijo Imperva.
En otra variación de un ataque de ingeniería social identificado por eSentire, se ha observado que actores maliciosos se ponen en contacto con profesionales de marketing en LinkedIn en un intento de distribuir un malware cargador basado en .NET denominado HawkEyes, que a su vez se utiliza para lanzar Ducktail, un ladrón de información con un enfoque particular en recopilar información de cuentas comerciales de Facebook.
"Se sabe que Ducktail ataca cuentas comerciales y de anuncios de Facebook", dijeron los investigadores de eSentire. "Los operadores utilizarán los datos de inicio de sesión robados para agregar direcciones de correo electrónico a las cuentas comerciales de Facebook. Cuando se agregan los correos electrónicos, se genera un enlace de registro mediante el cual el actor de amenazas puede otorgarse acceso".
¿Quieres saber más?
Comments