La campaña de phishing finalizó en febrero, cuando se explotaban activamente Zero-Day Exploits en los servidores de Microsoft Exchange.
Los ciberdelincuentes lanzaron la campaña en el mes de diciembre y la mantuvieron activa hasta febrero, la segmentaron acorde a cargos estratégicos dentro de la compañía a la que pertenecían las víctimas. Las empresas a las que atacaron fueron organizaciones que prestan servicios financieros, comercio minorista y seguros.
Para pasar sobre los parámetros de seguridad y autenticación de correo electrónico y de Microsoft los atacantes utilizaron un malware.
Los ciberdelincuentes elaboraron correos electrónicos con información detallada y específica, donde informaban de actualizaciones de office 365, además de adjuntar un archivo malicioso que contenía el malware para dar el acceso a los datos.
En el mensaje con asunto “Cambios importantes en el servicio” se ofrecía una falsa actualización de Office 365, para hacerlos creíbles registraban dominios de remitentes con temas de Microsoft e incluían como remitentes nombres de personas que trabajaban en la empresa a la que iba dirigido el correo.
«A diferencia del método de spray and pray que se ve a menudo con este tipo de campañas de recolección de credenciales impulsadas por ciberdelincuentes, esta actividad limitada sugiere un enfoque más específico», dijo el equipo de investigación.
En el informe, la compañía de ciberseguridad especifico que los atacantes utilizaron kits de phishing avanzados y dominios de remitentes con temática de Microsoft, así lograron pasar por alto la autenticación de correo electrónico mediante archivos adjuntos PDF, HTM, HTML.
Los atacantes se dirigieron a miembros recién nombrados de la alta gerencia y a sus asistentes ejecutivos, la teoría es que son blancos faciles por la inexperiencia con los procedimientos de actualización de software de una empresa. Por otra parte, la causa de los correos electrónicos enviados al sector financiero es la amplia variedad de información que registran de clientes, lo que permite perpetuar otros ataques.
La campaña utilizó nueve dominios, de los cuales cuatro eran falsificaciones, y los restantes eran URL legítimas comprometidas.
«Si bien no podemos atribuir estas campañas con 100% de certeza a un grupo específico o determinar qué kit de phishing exacto pueden estar usando, hubo evidencia de que los atacantes aprovecharon los servicios de alojamiento y registro basados en Rusia para muchos de los dominios de remitentes», dicen en la investigación. «Sin embargo, esto podría ser fácilmente una falsa bandera utilizada para reprimir la atribución», concluyeron.
Fuente:
Redacción propia.