Ataques de suplantación de identidad dirigidos con éxito piratearon a altos ejecutivos de más de 150 empresas

En los últimos meses, múltiples grupos de atacantes comprometieron con éxito las cuentas de correo electrónico corporativas de al menos 156 oficiales de alto rango en varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.

ApodadoPerSwaysion, ‘la campaña de ciberataque recién descubierta aprovechó los servicios de intercambio de archivos de Microsoft, incluidos Sway, SharePoint y OneNote, para lanzar ataques de phishing altamente dirigidos.

Según un informe publicado hoy por el equipo de inteligencia de amenazas del Grupo IB y compartido con The Hacker News, las operaciones de PerSwaysion atacaron a ejecutivos de más de 150 empresas en todo el mundo, principalmente con negocios en los sectores de finanzas, derecho e inmobiliario.

“Entre estas víctimas de oficiales de alto rango, aparecieron más de 20 cuentas de ejecutivos, presidentes y directores gerentes de Office365”.

Hasta ahora exitoso y aún en curso, la mayoría de las operaciones de PerSwaysion fueron orquestadas por estafadores de Nigeria y Sudáfrica que utilizaron un kit de phishing basado en el marco Vue.js JavaScript, evidentemente, desarrollado y alquilado por piratas informáticos vietnamitas.

“A fines de septiembre de 2019, la campaña PerSwaysion ha adoptado pilas tecnológicas mucho más maduras, utilizando Google Appspot para servidores de aplicaciones web de phishing y Cloudflare para servidores de datos”.

Al igual que la mayoría de los ataques de phishing con el objetivo de robar las credenciales de Microsoft Office 365, los correos electrónicos fraudulentos enviados como parte de la operación PerSwaysion también atrajeron a las víctimas con un archivo adjunto PDF no malicioso que contiene el enlace ‘leer ahora’ a un archivo alojado con Microsoft Sway.

“Los atacantes eligen servicios legítimos de intercambio de contenido basado en la nube, como Microsoft Sway, Microsoft SharePoint y OneNote para evitar la detección del tráfico”, dijeron los investigadores.

A continuación, la página de presentación especialmente diseñada en el servicio Microsoft Sway contiene además otro enlace “leer ahora” que redirige a los usuarios al sitio de phishing real, esperando que las víctimas ingresen las credenciales de su cuenta de correo electrónico u otra información confidencial.

Una vez robados, los atacantes pasan inmediatamente al siguiente paso y descargan los datos de correo electrónico de las víctimas del servidor utilizando las API de IMAP y luego se hacen pasar por sus identidades para atacar aún más a las personas que tienen comunicaciones de correo electrónico recientes con la víctima actual y desempeñan roles importantes en el mismo u otro compañías.

ataque de phishing por correo electrónico

“Finalmente, generan nuevos archivos PDF de phishing con el nombre completo de la víctima actual, dirección de correo electrónico, nombre legal de la empresa. Estos archivos PDF se envían a una selección de personas nuevas que tienden a estar fuera de la organización de la víctima y ocupan puestos importantes. El PerSwaysion los operadores suelen eliminar los correos electrónicos de suplantación de la bandeja de salida para evitar sospechas “.

“La evidencia indica que es probable que los estafadores usen los perfiles de LinkedIn para evaluar las posibles posiciones de las víctimas. Dicha táctica reduce la posibilidad de una alerta temprana por parte de los compañeros de trabajo de la víctima actual y aumenta la tasa de éxito del nuevo ciclo de phishing”.

Aunque no hay evidencia clara de cómo los atacantes están utilizando datos corporativos comprometidos, los investigadores creen que se puede ‘vender a granel a otros estafadores financieros para realizar estafas monetarias tradicionales’.

Group-IB también ha creado una página web en línea donde cualquiera puede verificar si su dirección de correo electrónico se vio comprometida como parte de los ataques de PerSwaysion; sin embargo, solo debe usarla e ingresar su correo electrónico si espera ser atacado.