MARKETING NOTICIAS

Ataque de phishing utiliza correos electrónicos legítimos para acceder a privilegios remotos

Imagen de un hombre escribiendo en una computadora portátil con la libreta a la izquierda y la taza a la derecha.Los ataques de phishing son cada vez más comunes para las empresas.
Fuente: Unsplash

El grupo ciberdelincuente iraní MuddyWater está utilizando correos electrónicos de compañías legítimas en ataques de phishing, informa Deep Instinct en su blog reciente New MuddyWater Threat: Old Kitten; New Trick. Los atacantes intentan instalar software malicioso de administración remota en los sistemas de los destinatarios mediante el envío de enlaces de spam como archivos adjuntos HTML, una táctica para evadir las soluciones de seguridad de correo electrónico.

Desde 2017, el grupo se ha enfocado en organizaciones privadas y gubernamentales en varios campos en Europa, América del Norte, Medio Oriente, Asia y África. Pero el grupo cambia su modus operandi con cada ataque para ocultar su firma.

Sin embargo, todas sus actividades giran en torno a los ataques de phishing. Utilizan herramientas de correo electrónico y administración remota para defraudar a empresas y personas. Esta vez, MuddyWater usó Syncro, una herramienta de administración remota para proveedores de servicios administrados (MSP). Pero en sus operaciones anteriores, confiaban en RemoteUtilities y ScreenConnect.

Envíe spam como adjuntos HTML para evadir la detección

La imagen muestra un correo electrónico de phishing que engaña a los destinatarios para que abran un archivo adjunto HTML, que se muestra en un rectángulo rojo.Siempre tenga cuidado con los archivos adjuntos de correo electrónico corporativo y nunca abra nada de lo que no esté seguro.
Fuente: instinto profundo

Los enlaces de spam enviados como archivos adjuntos HTML son peligrosos por dos razones. En primer lugar, las empresas a menudo ignoran los archivos adjuntos HTML en la capacitación de concientización sobre phishing porque no son archivos de almacenamiento ni archivos ejecutables. En segundo lugar, mientras que las soluciones de escaneo y filtrado de correo electrónico pueden detectar archivos adjuntos HTML de spam, el bloqueo requiere controles de seguridad adicionales. A menudo, pocas empresas toman estos pasos adicionales. Sabiendo esto, MuddyWater decidió enviar el enlace de spam como un archivo adjunto HTML en lugar de dentro del cuerpo del correo electrónico como en un ataque de phishing típico.

Artículo Recomendado:  El Consejo de Tecnología de Forbes asesora a futuros emprendedores tecnológicos.

Mientras investigaban los ataques de phishing de MuddyWater, los investigadores descubrieron que los archivos de OneDrive contenían el instalador Syncro MSI como objetivo de un enlace HTML. Los ciberdelincuentes de MuddyWater utilizaron la misma táctica para enviar spam a los contactos en el campo de los seguros desde la dirección de correo electrónico de una empresa hotelera israelí de confianza. En otra ocasión, utilizaron la dirección legítima de la empresa de hosting egipcia para enviar un correo electrónico a otra empresa de hosting egipcia. Al hacerlo, cuentan con que los empleados desprevenidos hagan clic en el archivo adjunto, confiando en la fuente obvia del correo electrónico.

No importa cuán sofisticada sea la configuración, todas las estafas de phishing dependen de que los destinatarios dentro de una red hagan clic en un enlace para descargar o ejecutar un archivo ejecutable. Los investigadores no tienen claro si MuddyWater tenía acceso a una sola cuenta de correo electrónico o al servidor de correo electrónico completo de la empresa cuya dirección estaba usando.

La imagen muestra el código del software de gestión remota Syncro, con las variables clave resaltadas en una pantalla negra.Syncro es una aplicación de gestión remota. Desafortunadamente, todos, incluidos los ciberdelincuentes, pueden probar esta herramienta de forma gratuita.
Fuente: instinto profundo

Entonces, ¿qué sucede cuando el usuario hace clic en el enlace del instalador de Syncro? Los ciberdelincuentes pueden obtener acceso remoto a las máquinas. Syncro es una herramienta de control remoto de máquinas favorita de los ciberdelincuentes. Además, incluso ofrece una prueba gratuita de 21 días. «Syncro proporciona un agente para que los MSP administren cualquier dispositivo instalado por Syncro utilizando un archivo MSI personalizado que incluye el ID del cliente», escribió el blog Deep Instinct.

Con su GUI, Syncro permite a los ciberdelincuentes tomar el control de la computadora una vez que el destinatario ha instalado el archivo remoto sin saberlo. Sin embargo, no se detiene allí. También proporciona a los ciberdelincuentes privilegios de SISTEMA, acceso a escritorio remoto, acceso completo al sistema de archivos, administrador de tareas y servicios. Estos privilegios permiten a los ciberdelincuentes infligir graves daños a usuarios y empresas. Como indica el informe, los actores de amenazas que obtienen acceso remoto a través de Syncro tienen opciones casi ilimitadas, como lo demuestran las operaciones BatLoader y LunaMoth.

LunaMoth usó Syncro para robar datos corporativos y luego exigir un rescate. Batloader, por otro lado, imita los resultados del motor de búsqueda de aplicaciones profesionales como Zoom, TeamViewer y Microsoft Visual Studio. Con el sistema de dirección de tráfico (TDS), los atacantes hacen que los usuarios hagan clic en aplicaciones maliciosas en los resultados. Cuando se hace clic, el enlace ejecuta una DLL de Windows legítima con un VBScript malicioso para cambiar la configuración de Microsoft Defender.

Manténgase alejado de los ataques de phishing

La imagen muestra la arquitectura de la estafa de phishing MuddyWater delineada sobre un fondo blanco.Las estafas de phishing son simples en teoría y ejecución. Pero siguen perjudicando a las empresas legítimas y han crecido en tamaño y sofisticación.
Fuente: instinto profundo

Business Email Compromise (BEC) sigue siendo una forma efectiva para que los ciberdelincuentes comprometan las redes. Los ciberdelincuentes se aprovechan de la falta de conocimiento de los empleados sobre las estafas. Los gerentes y propietarios pueden enviar a los empleados actualizaciones sobre las tendencias y prácticas de ciberseguridad para garantizar que se mantengan informados.

Para limitar su vulnerabilidad, las empresas pueden invertir en la concienciación de los empleados. Además, deben instituir medidas preventivas, que incluyen:

  • Asegúrese de que todos los correos electrónicos estén encriptados
  • Active el filtrado avanzado de correo no deseado y la detección de malware
  • Use un kit de herramientas de correo electrónico con tecnología anti-phishing
  • Evite que los usuarios de la red instalen ejecutables no autenticados
  • Evite que los empleados accedan a aplicaciones de correo electrónico de terceros
  • Asegúrese de que los empleados tengan 2FA en sus inicios de sesión de correo electrónico diarios
  • Anime a los empleados a establecer contraseñas seguras para sus correos electrónicos
  • Archivar y eliminar correos electrónicos dentro de un marco de tiempo apropiado
  • Asegúrese de que los empleados cambien las contraseñas regularmente
  • Implementar y actualizar una sólida política de seguridad de correo electrónico

Estas medidas reducirán el spam y, por lo tanto, mantendrán a las empresas a salvo de las operaciones de phishing. Además, reducir el spam puede aumentar la productividad de los empleados y mejorar la carga del servidor.

MuddyWater utiliza herramientas y servicios legítimos y gratuitos como Syncro y OneDrive para piratear cuentas de correo electrónico corporativas. Lo hace construyendo minuciosamente una apariencia creíble, sabiendo que cuanto más auténtico sea el spam, más probable es que el destinatario del correo electrónico abra el enlace o el archivo adjunto.

Sin embargo, su ataque fracasó, ya que la mala elección de palabras en el cuerpo del correo electrónico generó sospechas. A menudo, los errores gramaticales obvios son la revelación del contenido de spam, incluso si la dirección de correo electrónico de la fuente parece legítima.

Sin embargo, lo más preocupante es la facilidad con la que los actores de amenazas llevan a cabo estos ataques. El éxito les daría el control de las máquinas propiedad de las corporaciones o del gobierno.

En estos casos, hay muy poco margen de error. Y solo se necesita un empleado o supervisor negligente para abrir un enlace de spam y dejar entrar a los malos. Para los ciberdelincuentes, no importa si tienen acceso remoto a una o más máquinas. Para ellos, lo importante es entrar.

Artículo Recomendado:  14 maestros de la FNB comparten 14 resoluciones financieras para iniciar el 2014

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba