Los métodos de phishing modernos incluyen el abuso de servicios en la nube legítimos para eludir las soluciones de seguridad del correo electrónico y enviar un correo electrónico malicioso directamente a la bandeja de entrada de la víctima.
En este último ejemplo, los investigadores de seguridad cibernética de Trustwave encontraron un actor de amenazas que abusaba de los Servicios de administración de derechos (RMS) de Microsoft para entregar enlaces a páginas de destino falsas a sus víctimas. Los ataques son muy específicos y bastante difíciles de mitigar, dicen los investigadores.
En el ataque, los actores de amenazas utilizarán una cuenta de correo electrónico previamente robada para enviar un mensaje a su víctima. El mensaje contendrá un archivo adjunto creado con el servicio RSM, lo que significa que estará encriptado y tendrá la extensión .RPMSG. Microsoft diseñó RSM para ofrecer una capa adicional de protección para archivos confidenciales, al obligar a los lectores a autenticarse primero.
Robo de datos confidenciales
La autenticación se puede realizar con la cuenta de Microsoft o mediante un código de acceso de un solo uso.
Una vez que los usuarios se autentiquen y se les conceda la capacidad de leer el mensaje, serán redirigidos a un documento falso de SharePoint alojado en el servicio InDesign de Adobe. El documento contiene una llamada a la acción «Haga clic aquí para ver el documento», que lleva a los usuarios a una página vacía con un mensaje «Cargando». Esto es simplemente una distracción, mientras que un script malicioso extrae datos confidenciales en segundo plano.
Los datos incluyen ID de visitante, token de conexión y hash, información del renderizador de la tarjeta de video, idioma del sistema, memoria del dispositivo, simultaneidad de hardware, complementos de navegador instalados, detalles de la ventana del navegador y arquitectura del sistema operativo. Una vez que se complete este proceso, la página se volverá a cargar en un formulario de inicio de sesión falso de Microsoft 365 que roba las credenciales de inicio de sesión del visitante y las envía a los atacantes.
«Eduque a sus usuarios sobre la naturaleza de la amenaza y no intente descifrar o desbloquear mensajes inesperados de fuentes externas», dijo Trustwave en su informe.
«Para ayudar a evitar que las cuentas de Microsoft 365 se vean comprometidas, habilite la autenticación multifactor (MFA)».
La autenticación multifactor no es infalible, pero hace que los actores de amenazas trabajen mucho más para obtener acceso a los puntos finales de su objetivo. Dado que es bastante simple de configurar, MFA es elogiado en la comunidad de ciberseguridad y se considera el estándar de la industria.
Vía: BleepingComputer