Los investigadores de ciberseguridad están llamando la atención sobre un nuevo tipo de esquema de phishing de credencial que garantiza que la información robada esté asociada con cuentas en lista válidas.
La técnica ha sido nombrada en código Phishing de subsistencia de precisión por Cofense, que según él emplea la subsistencia de correo electrónico en tiempo efectivo para que solo se sirva un conjunto selecto de objetivos de stop valencia de las pantallas de inicio de sesión falsas.
“Esta táctica no solo le da a los actores de la amenaza una tasa de éxito más suscripción en la elaboración de credenciales utilizables, ya que solo se involucran con una letanía específica de cuentas de correo electrónico válidas previamente recolectadas”, dijo la compañía.
A diferencia de las campañas de cosecha de credenciales de “spray and-propy” que generalmente implican la distribución masiva de correos electrónicos de spam para obtener información de inicio de sesión de las víctimas de forma indiscriminada, la última táctica de ataque lleva la phishing de aguijada al ulterior nivel al participar solo en direcciones de correo electrónico que los atacantes han verificado como activos, legítimos y de stop valencia.
En este proscenio, la dirección de correo electrónico ingresada por la víctima en una página de destino de phishing se valida contra la saco de datos del atacante, posteriormente de lo cual se muestra la página de inicio de sesión falsa. Si la dirección de correo electrónico no existe en la saco de datos, la página devuelve un error o el usufructuario se redirige a una página inocua como Wikipedia para esquivar el estudio de seguridad.
Las verificaciones se llevan a punta integrando un servicio de subsistencia basado en APIA o JavaScript en el kit de phishing que confirma la dirección de correo electrónico antiguamente de continuar con el paso de captura de contraseña.
“Aumenta la eficiencia del ataque y la probabilidad de que las credenciales robadas pertenezcan a cuentas reales y utilizadas activamente, mejorando la calidad de los datos cosechados para reventa o una viejo explotación”, dijo Cofense.
“Los rastreadores de seguridad automatizados y los entornos de sandbox asimismo luchan por analizar estos ataques porque no pueden evitar el filtro de subsistencia. Este enfoque dirigido reduce el peligro de los atacantes y extiende la vida útil de las campañas de phishing”.
El expansión se produce cuando la compañía de seguridad cibernética asimismo reveló detalles de una campaña de phishing de correo electrónico que utiliza recordatorios de aniquilación de archivos como un señuelo para obtener credenciales y entregar malware.
El ataque de dos puntas aprovecha una URL integrada que aparentemente apunta a un archivo PDF que está programado para eliminarse de un servicio genuino de almacenamiento de archivos llamado Files.fm. Si el destinatario del mensaje hace clic en el enlace, se llevan a los archivos legítimos. Enlace de FM desde donde pueden descargar el supuesto archivo PDF.
Sin requisa, cuando se abre el PDF, a los usuarios se les presenta dos opciones para obtener una apariencia previa o descargar el archivo. Los usuarios que optan por el primero son llevados a una falsa pantalla de inicio de sesión de Microsoft que está diseñada para robar sus credenciales. Cuando se selecciona la opción de descarga, deja caer un ejecutable que afirma ser Microsoft OneDrive, pero, en sinceridad, es el software de escritorio remoto ScreenConnect desde Connectwise.
Es “casi como si el actor de amenaza diseñara intencionalmente el ataque para atrapar al usufructuario, obligándolo a designar a qué ‘ponzoña’ caerán”, dijo Cofense. “Ambas opciones conducen al mismo resultado, con objetivos similares pero diferentes enfoques para lograrlos”.
Los hallazgos asimismo siguen el descubrimiento de un sofisticado ataque de varias etapas que combina herramientas de ataque remoto y salpicaderos y técnicas de vida de la tierra para obtener ataque auténtico y establecer persistencia. La artesanía observada en la actividad es consistente con los grupos rastreados como Storm-1811 (asimismo conocido como STAC5777).
“El actor de amenazas explotó los canales de comunicación expuestos al entregar una carga útil de PowerShell maliciosa a través de un mensaje de los equipos de Microsoft, seguido del uso de concurrencia rápida para aceptar de forma remota al entorno”, dijo Ontinue. “Esto condujo al despliegue de binarios firmados (por ejemplo, TeamViewer.exe), una DLL maliciosa (TV.DLL) palpitación y, en última instancia, una puerta trasera C2 basada en JavaScript ejecutada a través de Node.js.”
