Los actores renuevan los materiales de la campaña de phishing para atacar a más contratistas gubernamentales con Microsoft 365
Un grupo de actores maliciosos ha intensificado sus campañas de phishing para engañar a grandes empresas (en particular, las de los sectores de la energía, los servicios profesionales y la construcción) para que presenten sus Microsoft Office 365 Credenciales de cuenta. Según un informe de la empresa de soluciones de respuesta y detección de phishing Cofenselos operadores de la campaña hicieron mejoras en el proceso y diseño de sus elementos señuelo y ahora se disfrazan de otras agencias gubernamentales de EE. UU., como los Departamentos de Transporte, Comercio y Trabajo.
“Los actores de amenazas están llevando a cabo una serie de campañas que falsifican a varios departamentos del gobierno de Estados Unidos”, dijo Cofense. “Los correos electrónicos afirman solicitar ofertas para proyectos gubernamentales, pero en su lugar llevan a las víctimas a páginas de phishing de credenciales. Estas campañas han estado en curso desde al menos mediados de 2019 y fueron cubiertas por primera vez en nuestra Alerta Flash en julio de 2019. Estas campañas avanzadas están bien diseñadas, se han visto en entornos protegidos por puertas de enlace de correo electrónico seguras (SEG), son muy convincentes y parecen ser el objetivo. Han evolucionado con el tiempo mejorando el contenido del correo electrónico, el contenido del PDF y la apariencia y el comportamiento de las páginas de phishing de credenciales”.
Cofense mostró una serie de capturas de pantalla comparando los materiales anteriores y actuales utilizados por los atacantes. Los primeros en recibir estas mejoras son los correos electrónicos y los archivos PDF, que ahora se están personalizando para que parezcan más auténticos. “Los primeros correos electrónicos tenían cuerpos más simplistas, sin logotipos y con un lenguaje relativamente sencillo”, añadió Cofense. “Los correos electrónicos más recientes utilizaban logotipos, bloques de firmas, formatos consistentes e instrucciones más detalladas. Los correos electrónicos recientes también incluyen enlaces para acceder a los archivos PDF en lugar de adjuntarlos directamente”.
Por otro lado, para evitar sospechas de las víctimas, los actores de amenazas también realizaron cambios en la página de phishing de credenciales, desde el proceso de inicio de sesión hasta el diseño y los temas. Las URL de las páginas también se cambian intencionalmente por otras más largas (por ejemplo, transporte[.]gobierno[.]licitación[.]seguro[.]jackpot[.]com), por lo que los destinatarios solo verán la parte .gov en ventanas más pequeñas del navegador. Además, la campaña ahora incluye requisitos de captcha y otras instrucciones para que el proceso sea más creíble.
Las mejoras en tales campañas hacen que distinguir sitios web y documentos reales de los falsificados sea más difícil para los objetivos, especialmente ahora que los actores están utilizando información actualizada copiada de fuentes originales. Sin embargo, Cofense destacó que todavía hay formas de evitar ser víctimas de estos actos. Además de detectar pequeños detalles (por ejemplo, fechas incorrectas en las páginas y URL sospechosas), todos los destinatarios siempre deben tener cuidado al hacer clic en los enlaces, no sólo los que están incrustados en los correos electrónicos sino también los que se encuentran en los archivos adjuntos.
