Nuevo modelo de phishing usa hilos de correo legítimos

Nueva moda en el phishing: utilizar hilos de correo legítimos

KnowBe4 y Barkly han anunciado estos días algo curioso y alarmante: un nuevo ataque de Phishing muy difícil de detectar, dado que su origen está en nuestra propia bandeja de correo, al emplear hilos de mensajes existentes en nuestra organización.

Nos alejamos cada vez de las clásicas nigerian letters y otras amenazas caducas, de las que hasta poco hasta nos reíamos (pensando “mira tú el pringado este, se cree que me la va a colar”).

Nuevo modelo de phishing que usa nuestros correos

Hace pocos días, uno de los clientes de Barkly comenzó a recibir correos de contactos conocidos que tenían en otra organización, como puede ser un proveedor o empresa colaboradora. Como se puede apreciar en la siguiente imagen, al menos uno de los correos aparecía como respuesta de la otra organización a un hilo existente. En el hilo general del correo, ambas empresas intercambiaban opiniones sobre temas de trabajo.

Nuevo modelo de phishing que usa nuestros correos

Ofreciendo esta falsa imagen de confianza, lo que se busca es que obviamente algún empleado acceda al hilo y se le convencerá entonces para habilitar macros de Office (para poder ver el contenido).

Troyanos como Ursniff servidos en macros

Esto es lo que se desplegará en el sistema del infeliz que abra dicho documento. Troyanos como Ursniff (caso que nos ocupa) y otros como Emotet tienen una gran capacidad de infligir daño y se expanden rápidamente.

Por ejemplo, Ursniff es capaz de robar todas las credenciales del navegador mediante ataques MitB (Man in the Browser) y también lleva a cabo otros procesos de captura habituales como registro de pulsaciones de teclado (keylogging) y captura de pantalla y video.

Como hemos dicho, este troyano sería servido a través del adjunto en el hilo de correo, que contendría una macro que el usuario tendría que habilitar y que entonces desplegaría silenciosamente un script de Powershell que instalaría el payload de Ursniff.

Habrá quien busque consuelo en que, al menos, requiere cierta interacción del usuario para habilitar la macro (además de abrir el email). Lo que ocurre, es que por ejemplo ahora nos hemos enterado de nuevas vulnerabilidades en Office, como la  CVE-2017-11882, que permitiría realizar ataques sobre Word usando objetos OLE y sin intervención del usuario.

Ingeniería social avanzada

Si combinamos recientes vulnerabilidades como esta con la elevada credibilidad que tendría un ataque de este tipo, las consecuencias pueden ser graves. Y es que si algo hace tan difícil de detectar este ataque de Phishing es la credibilidad aparente que tiene: el correo viene reenviado por un contacto y empresa con la que tratamos habitualmente.

Prevención y remediación

Es necesario reaccionar para evitar ser víctimas de este nuevo esquema de ataques, porque además nuestros propios servidores se convertirían en spammers y podríamos acabar con ellos en una lista negra. Veamos algunas buenas recomendaciones::

  • Informaremos (y formaremos) a nuestros empleados del nuevo esquema
  • Desactivaremos las macros de Microsoft Office, si es posible en toda la red
  • Comprobaremos las reglas de los firewall, para estar seguros de que cualquier adjunto de este tipo sea, como mínimo, marcado como potencialmente peligros (incluso podríamos bloquear directamente todo el contenido)
  • Servidores de email: los configuraremos para que sus filtros bloqueen contenido de tipo macro / VBS

Como última recomendación, podemos también instalar un botón para que el usuario pulse y se envíe esta muestra al departamento de seguridad de forma directa, para su revisión.

Alerta de phishing Knowbe4

KnowBe4 nos ofrece una forma sencilla y gratuita de conseguirlo, solo tendremos que registrarnos, completar un sencillo formulario e instalar los complementos apropiados.Phishing Alert KnowBe4

 

 

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s