Los investigadores de ciberseguridad están llamando la atención sobre un nuevo tipo de esquema de phishing de credencial que garantiza que la información robada esté asociada con cuentas en línea válidas.
La técnica ha sido nombrada en código Phishing de validación de precisión por Cofense, que según él emplea la validación de correo electrónico en tiempo real para que solo se sirva un conjunto selecto de objetivos de alto valor de las pantallas de inicio de sesión falsas.
«Esta táctica no solo le da a los actores de la amenaza una tasa de éxito más alta en la obtención de credenciales utilizables, ya que solo se involucran con una lista específica de cuentas de correo electrónico válidas previamente recolectadas», dijo la compañía.
A diferencia de las campañas de recolección de credenciales de «spray and-propy» que generalmente implican la distribución masiva de correos electrónicos de spam para obtener información de inicio de sesión de las víctimas de manera indiscriminada, la última táctica de ataque lleva la phishing de lanza al siguiente nivel al participar solo en direcciones de correo electrónico que los atacantes han verificado como activos, legítimos y de alto valor.
En este escenario, la dirección de correo electrónico ingresada por la víctima en una página de destino de phishing se valida contra la base de datos del atacante, después de lo cual se muestra la página de inicio de sesión falsa. Si la dirección de correo electrónico no existe en la base de datos, la página devuelve un error o el usuario se redirige a una página inocua como Wikipedia para evadir el análisis de seguridad.
Las verificaciones se llevan a cabo integrando un servicio de validación basado en APIA o JavaScript en el kit de phishing que confirma la dirección de correo electrónico antes de continuar con el paso de captura de contraseña.
«Aumenta la eficiencia del ataque y la probabilidad de que las credenciales robadas pertenezcan a cuentas reales y utilizadas activamente, mejorando la calidad de los datos cosechados para reventa o una mayor explotación», dijo Cofense.
«Los rastreadores de seguridad automatizados y los entornos de sandbox también luchan por analizar estos ataques porque no pueden evitar el filtro de validación. Este enfoque dirigido reduce el riesgo de los atacantes y extiende la vida útil de las campañas de phishing».
El desarrollo se produce cuando la compañía de seguridad cibernética también reveló detalles de una campaña de phishing de correo electrónico que utiliza recordatorios de eliminación de archivos como un señuelo para obtener credenciales y entregar malware.
El ataque de dos puntas aprovecha una URL integrada que aparentemente apunta a un archivo PDF que está programado para eliminarse de un servicio legítimo de almacenamiento de archivos llamado Files.fm. Si el destinatario del mensaje hace clic en el enlace, se llevan a los archivos legítimos. Enlace de FM desde donde pueden descargar el supuesto archivo PDF.
Sin embargo, cuando se abre el PDF, a los usuarios se les presenta dos opciones para obtener una vista previa o descargar el archivo. Los usuarios que optan por el primero son llevados a una falsa pantalla de inicio de sesión de Microsoft que está diseñada para robar sus credenciales. Cuando se selecciona la opción de descarga, deja caer un ejecutable que afirma ser Microsoft OneDrive, pero, en realidad, es el software de escritorio remoto ScreenConnect desde Connectwise.
Es «casi como si el actor de amenaza diseñara intencionalmente el ataque para atrapar al usuario, obligándolo a elegir a qué ‘veneno’ caerán», dijo Cofense. «Ambas opciones conducen al mismo resultado, con objetivos similares pero diferentes enfoques para lograrlos».
Los hallazgos también siguen el descubrimiento de un sofisticado ataque de varias etapas que combina herramientas de acceso remoto y salpicaderos y técnicas de vida de la tierra para obtener acceso inicial y establecer persistencia. La artesanía observada en la actividad es consistente con los grupos rastreados como Storm-1811 y STAC5777.
«El actor de amenazas explotó los canales de comunicación expuestos al entregar una carga útil de PowerShell maliciosa a través de un mensaje de los equipos de Microsoft, seguido del uso de asistencia rápida para acceder de forma remota al entorno», dijo Ontinue. «Esto condujo al despliegue de binarios firmados (por ejemplo, TeamViewer.exe), una DLL maliciosa (TV.DLL) latido y, en última instancia, una puerta trasera C2 basada en JavaScript ejecutada a través de Node.js.»