Sitios de SharePoint pirateados

windows

Los phishers detrás de una nueva campaña han cambiado a usar sitios de SharePoint comprometidos y documentos de OneNote para redirigir a las posibles víctimas del sector bancario a sus páginas de destino

Los atacantes aprovechan el hecho de que los dominios utilizados por la plataforma colaborativa basada en web de SharePoint de Microsoft casi siempre son pasados ​​por alto por puertas de enlace de correo electrónico seguras que permiten que sus mensajes de phishing lleguen regularmente a las bandejas de entrada de sus objetivos.

Los correos electrónicos enviados como parte de esta nueva campaña de phishing se envían desde cuentas comprometidas y solicitarán a los objetivos que revisen una propuesta de asesores legales a través de una URL incrustada en el mensaje como descubrieron los investigadores de Cofense Cyber ​​Incident Response.

"SharePoint es el mecanismo de entrega inicial para entregar una URL maliciosa secundaria, lo que permite al actor de la amenaza eludir casi cualquier tecnología de perímetro de correo electrónico", encontró Cofense.

Esta URL enlaza con un sitio de SharePoint controlado por un atacante creado utilizando una cuenta pirateada que aloja un documento de OneNote diseñado con fines maliciosos diseñado para ser ilegible y que solicita a los objetivos que descarguen la versión completa a través de un enlace incrustado que en realidad envía a los empleados del banco a la página de phishing.

Una vez que los objetivos llegan a la página de inicio de suplantación de identidad (phishing), ven una página web que se hace pasar por la página de inicio de sesión de OneDrive para la Empresa con un mensaje que se muestra arriba del formulario de inicio de sesión que dice "Este documento es seguro, inicie sesión para verlo, editarlo o descargarlo. Seleccione una opción a continuación continuar."

Las opciones para elegir son iniciar sesión con una cuenta de Office 365 o con una cuenta proporcionada por cualquier otro proveedor de correo electrónico, una técnica de phishing popular diseñada para obtener cualquier tipo de credencial si el objetivo no tiene o no desea iniciar sesión con Microsoft cuenta.

Después de que la víctima ingresa las credenciales para iniciar sesión, el kit de phishing que BlackShop Tools vende y utiliza automáticamente los operadores de esta campaña los recopila automáticamente, y la información se entrega posteriormente a lo que parece ser otra cuenta de correo electrónico pirateada.

Los indicadores de compromiso (COI) para esta campaña de phishing, incluidas las direcciones IP, las URL y las cuentas de correo electrónico utilizadas por los atacantes, están disponibles al final del informe de Cofense .

Los grupos de phishing han utilizado una gran variedad de métodos y técnicas para recolectar la información confidencial de sus objetivos durante los últimos meses.

Por ejemplo, los atacantes de la semana pasada utilizaron archivos adjuntos de currículums falsos para infectar a sus víctimas con cargas maliciosas de la Herramienta de administración remota (RAT) de Quasar , mientras que otra serie de ataques utilizó el procesador de texto en línea Google Docs para entregar el troyano bancario TrickBot a través de archivos ejecutables camuflados como documentos PDF

Una semana antes, los usuarios de Instagram fueron el objetivo de una campaña de phishing utilizando advertencias falsas de 'intento fallido de inicio de sesión' junto con códigos falsos 2FA diseñados para hacer que la estafa sea más persuasiva.

Otra campaña inusual sondeó las bandejas de entrada de correo electrónico este mes con correos electrónicos vinculados a las páginas de inicio de sesión de inquilinos de Microsoft 365 de la compañía de sus objetivos.

Los investigadores de Microsoft detectaron otra campaña bastante peculiar que utilizaba páginas de error 404 personalizadas para engañar a las víctimas potenciales para que entregaran sus credenciales de Microsoft.

Fecha actualización el 2021-09-04. Fecha publicación el 2019-09-04. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil