40.000 correos electrónicos de phishing camuflados en SharePoint y servicios de firma electrónica

Investigadores de seguridad de correo electrónico de Check Point, descubrieron recientemente una campaña de phishing en la que los atacantes se hacen pasar por servicios de intercambio de archivos y firma electrónica, para enviar señuelos con temática financiera que simulan notificaciones legítimas.

En este incidente, los atacantes enviaron más de 40.000 correos electrónicos de phishing dirigidos a aproximadamente 6.100 empresas durante las últimas dos semanas. Todos los enlaces maliciosos se canalizaron a través de https://url.za.m.mimecastprotect.com, lo que aumentó la confianza al imitar flujos de redireccionamiento habituales.

Los atacantes abusaron de la función de reescritura de enlaces seguros de Mimecast, utilizándola como cortina de humo para que sus enlaces parecieran seguros y autenticados. Dado que Mimecast Protect es un dominio de confianza, esta técnica ayuda a las URL maliciosas a evadir los filtros automáticos y despertar la sospecha del usuario.

Para aumentar la credibilidad, los correos electrónicos copiaban elementos visuales oficiales del servicio (logotipos de Microsoft y productos de Office), utilizaban encabezados, pies de página y botones de ‘revisar documento’ similares a los de los servicios, y falsificaban nombres para mostrar como ‘X vía SharePoint (Online)’, ‘eSignDoc vía Y’ y ‘SharePoint’, que coincidían estrechamente con los patrones de notificación auténticos.

‘Las plataformas de intercambio de archivos digitales y firma electrónica, ampliamente utilizadas en banca, bienes raíces, seguros y operaciones comerciales cotidianas, se han vuelto esenciales para la rápida evolución de las organizaciones modernas. Sin embargo, esa misma comodidad crea una brecha para los ciberdelincuentes’, explica Alejandro Botter, Gerente de Ingeniería de Check Point.

Phishing al estilo DocuSign con un método de redireccionamiento diferente

Además de la gran campaña de SharePoint/firma electrónica, los investigadores también identificaron una operación más pequeña, pero relacionada, que imita las notificaciones de DocuSign. Al igual que el ataque principal, se hace pasar por una plataforma SaaS confiable y aprovecha una infraestructura de redireccionamiento legítima, pero la técnica utilizada para enmascarar el destino malicioso difiere significativamente. 

En la campaña principal, la redirección secundaria actúa como una redirección abierta, dejando visible la URL de phishing final en la cadena de consulta a pesar de estar protegida por servicios de confianza. En la variante basada en DocuSign, el enlace se mueve a través de una URL de Bitdefender GravityZone y luego a través del servicio de seguimiento de clics de Intercom, con la página de destino real completamente oculta tras una redirección tokenizada. Este enfoque oculta por completo la URL final, lo que hace que la variante de DocuSign sea aún más sigilosa y difícil de detectar.

La campaña se dirigió principalmente a organizaciones de EE. UU., Europa, Canadá, Asia-Pacífico y Oriente Medio, con un enfoque principal en los sectores de consultoría, tecnología y construcción/inmobiliario. Además, tuvo víctimas en sectores como la salud, las finanzas, la manufactura, los medios de comunicación y el marketing, el transporte y la logística, la energía, la educación, el comercio minorista, la hostelería y los viajes, y la administración pública. Estos sectores son objetivos atractivos porque intercambian contratos, facturas y otros documentos transaccionales de forma habitual, lo que hace que el intercambio de archivos y la suplantación de firmas electrónicas sean muy convincentes y tengan más probabilidades de éxito.

Los datos de telemetría de correo electrónico Harmony de Check Point muestran que, en las últimas dos semanas, se enviaron más de 40 000 correos electrónicos de phishing dirigidos a aproximadamente 6100 empresas en todo el mundo.

La mayoría de las empresas afectadas operan en los sectores de consultoría, tecnología y construcción/inmobiliario, salud, finanzas, manufactura, medios de comunicación/marketing, transporte/logística, energía y educación. Es probable que estos sectores sean el objetivo debido a que intercambian frecuentemente contratos, facturas y otros documentos financieros, lo que hace que el intercambio de archivos y la firma electrónica sean especialmente atractivos. 

‘Lo que hace único a este ataque es que demuestra la facilidad con la que los atacantes pueden imitar servicios confiables de intercambio de archivos para engañar a los usuarios, y destaca la necesidad de una vigilancia continua, especialmente cuando los correos electrónicos incluyen enlaces clicables, datos de remitentes sospechosos o contenido inusual en el cuerpo del correo’, señala Botter.

Medidas proactivas para reducir el riesgo 

1. Siempre tener cuidado con los enlaces incrustados en los correos electrónicos, especialmente cuando parezcan inesperados o urgentes.
2. Prestar mucha atención a los detalles del correo electrónico, como discrepancias entre el nombre para mostrar y la dirección real del remitente, inconsistencias en el formato, tamaños de fuente inusuales, logotipos o imágenes de baja calidad y cualquier cosa que parezca fuera de lugar.
3. Pasar el cursor sobre los enlaces antes de hacer clic para inspeccionar el destino real y asegurarse de que coincida con el servicio que supuestamente envió el mensaje.
4. Abrir el servicio usted mismo en el navegador y busque el documento directamente, en lugar de usar los enlaces proporcionados en los correos electrónicos. 5. Capacite regularmente a empleados y equipos sobre las nuevas técnicas de phishing para que comprendan el aspecto de los patrones sospechosos.
5. Utilizar soluciones de seguridad como detección de amenazas de correo electrónico, motores antiphishing, filtrado de URL y herramientas de informes de usuarios para reforzar la protección general.