Una campaña de phishing altamente convincente es utilizar imágenes clonadas de notificaciones automatizadas de Microsoft Teams en ataques que intentan obtener credenciales de Office 365.
La plataforma de colaboración en la nube de Microsoft Teams ha experimentado un gran aumento de uso desde el comienzo de la pandemia de COVID-19, con Microsoft anunciando el 30 de marzo que la plataforma ha alcanzado 75 millones de usuarios activos diarios (DAU), con un aumento del 70% desde el 19 de marzo cuando reportó 44 millones de DAU .
Los correos electrónicos de phishing que falsifican el uso compartido de archivos de Microsoft Teams y las notificaciones de chat de audio hasta ahora han llegado a las bandejas de entrada de 15,000 a 50,0000 objetivos basados en estadísticas de investigadores como la empresa de seguridad de correo electrónico Abnormal Security.
Lo que los hace aún más peligrosos que los mensajes de phishing regulares es que los usuarios están acostumbrados a recibir alertas de varios servicios de colaboración en línea para mantenerse en contacto con colegas, amigos y familiares, y los hace propensos a ignorar cualquier señal que de lo contrario les permitiría darse cuenta de que están siendo atacados.
Clonación de páginas de inicio de sesión para robar cuentas de Office 365
Lo que hace que estos ataques de phishing sean especiales es la clonación de alertas de Microsoft Teams en lugar de crearlas desde cero utilizando imágenes no coincidentes recopiladas de todo el lugar y contenido plagado de errores tipográficos y gramaticales.
Dado que las imágenes encontradas durante este ataque son imágenes reales utilizadas por el proveedor legítimo, el receptor puede estar más convencido de que se trata de un correo electrónico legítimo», dijeron los investigadores. «Esto es especialmente cierto en dispositivos móviles donde las imágenes ocupan la mayor parte del contenido en la pantalla».
Algunos de los correos electrónicos de phishing que los investigadores pudieron recopilar alertan a las posibles víctimas de mensajes de audio fuera de línea y los invitan a escucharlos, mientras que otros les harán saber que sus compañeros de equipo están tratando de comunicarse con ellos utilizando Microsoft Teams.
Estos últimos también informarán a los objetivos de los archivos compartidos para su revisión y también les proporcionarán enlaces para instalar el cliente Teams en dispositivos iOS y Android.
Tal como están las cosas, esta campaña debería poder pasar por alto algunas puertas de enlace de correo electrónico seguras (SEG) y convencer a muchos más objetivos para que visiten la página de inicio de phishing en lugar de enviar el correo electrónico a la carpeta de spam.
Para evadir los servicios de protección de correo electrónico, los atacantes también usan varias redirecciones de URL con el objetivo final de ocultar la URL utilizada para alojar la campaña de phishing.
En uno de los ataques, por ejemplo, «la redirección de URL se aloja en YouTube, luego se redirige dos veces a la página web final que aloja otro sitio de credenciales de phishing de inicio de sesión de Microsoft».
En otra versión de estos ataques, el correo electrónico de phishing se envía desde un dominio registrado recientemente, sharepointonline-irs [.] Com , que no está asociado con Microsoft ni con el Servicio de Impuestos Internos (IRS) de EE. UU., Aunque intenta convencer a los objetivos del opuesto.
Las páginas de destino también utilizan los mismos gráficos que se muestran en las notificaciones web de Microsoft Teams que imitan, con el efecto final de mostrar al objetivo una versión perfectamente clonada del producto real.
Después de saltar por todos los aros, los objetivos aterrizarán en un falso y, nuevamente, clonado perfectamente en el formulario de inicio de sesión de Office 365 que usan los atacantes para obtener las credenciales de las víctimas.
«Si el receptor es víctima de este ataque, las credenciales de este usuario se verían comprometidas», explican los investigadores.
«Además, dado que Microsoft Teams está vinculado a Microsoft Office 365, el atacante puede tener acceso a otra información disponible con las credenciales de Microsoft del usuario a través del inicio de sesión único»
Equipos de Microsoft, phishing y robo de credenciales
El cliente de Microsoft Teams fue parcheado recientemente para corregir una vulnerabilidad de seguridad que permitía a los atacantes hacerse cargo de las cuentas de los usuarios enviándoles una imagen GIF animada.
El servicio Sway de Microsoft también se hace pasar por una campaña de phishing llamado PerSwaysion para engañar a las víctimas potenciales para que envíen sus credenciales de inicio de sesión de Office 365 a múltiples actores de amenazas.
Hasta la fecha, los operadores detrás de estos ataques han logrado recolectar más de 20 cuentas de Office 365 pertenecientes a compañías ejecutivas en los EE. UU., Canadá, Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.
Las campañas de phishing también están dirigidas a los usuarios de Zoom , otra plataforma de colaboración en la nube que ha experimentado un crecimiento explosivo este año, con notificaciones falsas de reuniones de Zoom que se utilizan para robar las direcciones de correo electrónico y las contraseñas de las víctimas.
fuente: bleepingcomputer