This post is also available in: Português Español
Cibercriminales esparcen malwares usando URLs de Google, que logran burlar las defensas de los sistemas empresariales.
Pocas veces el dicho “lobo disfrazado de oveja” ha tenido tanto sentido en el mundo de los crímenes virtuales. En manos de crackers, tal frase famosa aparece como ingeniería social para confundir a los trabajadores responsables del área de contacto de los sitios web de las empresas para las que trabajan.
La situación es bastante seria y Microsoft alerta a empresas de todo el mundo para que cuiden esa parte de sus websites. Son decenas de hackers que usan los formularios de contacto de sitios web corporativos para enviar el IcedID – un troyano especializado en robo de información – por correo electrónico con URLs de Google a los empleados.
De hecho, los formularios de contacto de sitios web son una puerta abierta que los criminales comenzaron a usar recientemente. La idea es entrar en contacto con los trabajadores que reciben las solicitudes que vienen de ese canal – para así aplicar fraudes convincentes.
Parece, pero no es
Una característica fuerte de este ataque es que los criminales están usando los formularios de contacto para enviar URLs legítimos de Google, que exigen que los usuarios hagan login con su id y contraseña de Google.
Ante un problema de tal magnitud, Microsoft informó sobre los ataques a los equipos de seguridad de Google para avisarles el peligro. Las URLs del gigante de internet son útiles para los hackers porque pueden burlar los filtros de seguridad de los servicios de email. Los hackers también parece haberse librado de los desafíos de Captcha, usados para verificar si el contacto es de una persona o de algún bot malicioso.
“Los invasores están innovando al abusar de infraestructuras legítimas, como formularios de contacto de sitios web. Además, usan URLs auténticas, como las de Google, que exigen que los objetivos hagan login con sus credenciales”, dice el comunicado del Equipo de Inteligencia de Amenazas de Microsoft 365.
Versatilidad
Actualmente la carga útil está enfocada solamente en el malware IcedID. Mas podría ser usada con la misma facilidad para transmitir otros malwares.
La verdad es que, el IcedID es un troyano bancario que puede ser usado como punto de entrada para ataques siguientes, como ransomware operados manualmente para objetivos de alto valor. Los ataques de ransomware operados por humanos son cada vez más comunes, y exigen que el criminal esté al frente del computador y organizar el ataque, a diferencia del ataque automatizado.
“Observamos un flujo de correos electrónicos de formularios de contacto dirigidos a empresas por medio de aprovechamiento de formularios de contacto. Eso indica que los invasores pueden haber usado una herramienta que automatiza este proceso, al mismo tiempo que evade la protección tipo Captcha”, añadió Microsoft.
Se trata de un ataque complicado de detectar, ya que el correo electrónico llega a los funcionarios por medio de su propio formulario de contacto – y también por sistemas de email marketing. Como los emails son originados por la misma página web, los modelos de email corresponden al que los funcionarios esperarían recibir de una interacción o consulta real de clientes.
Los crackrers usan un lenguaje que presiona al trabajador para responder rápido, con alegatos falsos de que el sitio web está violando los derechos de autor de determinadas fotos, por ejemplo. El correo electrónico enviado contiene un link para una página estilo sites.google.com donde el trabajador debe visualizar las supuestas imágenes irregulares.
Quien entra a ese sitio web, verá descargar automáticamente un archivo ZIP con un archivo JavaScript, que a su vez baja el malware IcedID como un archivo .DAT. Este también baja un componente del kit de test de penetración, que le permite al invasor controlar el dispositivo por Internet.
Como la batalla a nivel técnico está repleta de desafíos, las defensas a este tipo de ataques deben concentrarse con mayor intensidad en el entrenamiento de trabajadores. Ellos deben recibir instrucciones constantemente sobre los nuevos métodos de invasión, ya que son parte importante de todo lo que envuelve la seguridad digital de la empresa. Como los ataques de los cibercriminales probablemente nunca acabarán, tiene sentido ampliar los conocimientos de los trabajadores sobre el tema – de una manera cada vez más frecuente.
This post is also available in: Português Español