Un nuevo ataque de phishing de Office 365 utiliza un método interesante para almacenar su formulario de phishing alojado en Azure Blob Storage para estar protegido por un certificado SSL de Microsoft.
Azure Blob storage es una solución de almacenamiento de Microsoft que se puede usar para almacenar datos no estructurados, como imágenes, videos o texto. Una de las ventajas del almacenamiento de Azure Blob es que se puede acceder mediante HTTP y HTTPS, y cuando se conecta a través de HTTPS, mostrará un certificado SSL firmado de Microsoft.
¿Ves a dónde vamos aquí? Al almacenar un formulario de phishing en el almacenamiento de Azure Blob, el formulario mostrado estará firmado por un certificado SSL de Microsoft. Esto lo convierte en un método ideal para crear formularios de phishing dirigidos a servicios de Microsoft como Office 365, Azure AD u otros inicios de sesión de Microsoft.
El ataque de phishing utiliza el almacenamiento de blobs de Azure para hacerse pasar por Microsoft
El uso del almacenamiento de Azure Blob para alojar un formulario de phishing es exactamente el tipo de proveedor de seguridad en la nube de ataque que Netskope descubrió recientemente . En este ataque, los malos actores están enviando correos electrónicos no deseados con archivos adjuntos en PDF que pretenden ser de una firma de abogados en Denver.
Estos archivos adjuntos se denominan "Documento escaneado ... Revise.pdf" y simplemente contienen un botón para descargar un PDF supuesto de un documento escaneado.
Cuando los usuarios hagan clic en este enlace, se los llevará a una página HTML que pretende ser un formulario de inicio de sesión de Office 365 que se almacena en la solución de almacenamiento Microsoft Azure Blob. Observe cómo la URL https://onedriveunbound80343.blob.core.windows.net indica que es un blob. Como esta página también se hospeda en un servicio de Microsoft, también se beneficia de ser un sitio SSL seguro.
Para aquellos usuarios que puedan sospechar de la extraña URL, si miran el certificado verán que la página está firmada por un certificado SSL emitido por Microsoft IT TLS CA 5.
Como se trata de un supuesto inicio de sesión de Office 365 y el sitio está protegido mediante un certificado SSL de Microsoft, muchos pueden estar convencidos de que se trata de un formulario de inicio de sesión legítimo.
Una vez que un usuario ingresa su información, el formulario enviará los contenidos a un servidor operado por los atacantes.
Después de enviar el formulario, la página pretende que el documento está listo para ser descargado, pero en última instancia simplemente redirigirá al usuario al sitio https://products.office.com/en-us/sharepoint/collaboration de Microsoft.
Si bien los usuarios más experimentados no pueden caer en este ataque debido a la extraña URL, otros pueden estar más convencidos porque la página utiliza un certificado de Microsoft y, por lo tanto, debe ser segura.
Para proteger mejor a los usuarios de este tipo de amenazas en evolución, Netskope recomienda que las empresas instruyan a sus usuarios para que reconozcan las direcciones de páginas web no estándar.
Fecha actualización el 2021-10-04. Fecha publicación el 2018-10-04. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer