Campaña de phishing omite SEG para dirigirse a los usuarios de Office365

Se ha observado continuamente a varios atacantes que utilizan técnicas innovadoras con ataques de phishing para eludir las aplicaciones de seguridad estándar normales, como la protección de Secure Email Gateways (SEG).

Según un informe de Cofense, la campaña de phishing tiene como objetivo recolectar las credenciales de Office365, disfrazadas como un correo electrónico de actualización de seguridad de Outlook del departamento de seguridad de TI, que podría eludir la capa SEG.

En los correos electrónicos, el actor de la amenaza ha falsificado tanto al remitente como al nombre de la empresa. Dicho uso de la línea de asunto personalizada y la información del remitente aumenta la probabilidad de que los usuarios objetivo abran el archivo adjunto, que por lo general es un PDF.

Este PDF contiene enlaces que dirigirían a las víctimas a un sitio web, el cual solicita descargar un software malicioso o que el usuario ingrese sus credenciales.

Para que el documento pareciera más legítimo, los atacantes utilizaron los logotipos de Microsoft y la empresa del destinatario e incluyeron otros detalles que le dan ‘realidad’ al mensaje.

Además, utiliza una referencia del servicio de Google Ads que redirige a los usuarios a otro dominio hxxp: // ekavolunteers [.] Org, y luego a otro dominio que pretende ser la página de la política de privacidad de Microsoft, diseñada para recopilar credenciales.

Ataques de phishing recientes en Office 365

Varios atacantes han intentado continuamente atraer a los usuarios del servicio de Office 365 a través de varias campañas de phishing.

Hace unas semanas, se observó una campaña de phishing que pretendía ser la solución de autenticación de correo electrónico en línea de Zix, que tenía como objetivo a los usuarios de Office365 para robar sus credenciales.

Casi al mismo tiempo, la Agencia de los Estados Unidos para los Medios Globales (USAGM) reveló una violación de datos después de ser víctima de un ataque de phishing en diciembre de 2020. El ataque permitió a un actor de amenazas acceder a la información personal de varios socios, almacenada en las cuentas de correo electrónico.