Campaña de suplantación de identidad de Office 365 utiliza URL de redireccionamiento

Microsoft está rastreando una campaña de phishing de Office 365 que está dirigida a empresas, los ataques pueden detectar soluciones de espacio aislado y evadir la detección.

«Estamos rastreando un ataque de phishing de credenciales activo dirigido a empresas que utiliza múltiples métodos sofisticados para la evasión de la defensa y la ingeniería social», se lee en un mensaje publicado por Microsoft a través de Twitter.

«La campaña utiliza señuelos oportunos relevantes para el trabajo remoto, como actualizaciones de contraseñas, información de conferencias, tickets de asistencia técnica, etc.»

Los actores de amenazas detrás de la campaña aprovechan las URL de redireccionamiento con la capacidad de detectar conexiones entrantes desde entornos sandbox.

Al detectar conexiones para sandboxes, el redirector las redirigirá a sitios legítimos para evadir la detección, mientras que las conexiones de víctimas potenciales reales se redirigen a páginas de phishing.

Los mensajes de phishing también están muy ofuscados para evitar las puertas de enlace de correo electrónico seguras.

Los expertos de Microsoft también notaron que los actores de amenazas detrás de esta campaña también están generando subdominios personalizados para usar con sitios de redireccionamiento para cada uno de los objetivos.

Los subdominios siempre contienen el nombre de usuario del objetivo y el nombre de dominio de la organización, agregó Microsoft.

Este subdominio es único en un intento de evadir la detección y los atacantes lo agregan a un conjunto de dominios base, generalmente sitios comprometidos. Las URL de phishing tienen un punto adicional después del TLD, seguido de la dirección de correo electrónico codificada en Base64 del destinatario.

“El uso de subdominios personalizados ayuda a aumentar la credibilidad del señuelo. Además, la campaña utiliza patrones en los nombres para mostrar del remitente consistentes con el atractivo de la ingeniería social: «Actualización de contraseña», «Protección de Exchange», «Helpdesk- #», «SharePoint», «Proyectos_comunicación». » continúa Microsoft en una serie de tweets publicados por su cuenta oficial.

«Los subdominios únicos también significan grandes volúmenes de URL de phishing en esta campaña, un intento de evadir la detección».

Los atacantes utilizaron patrones de nombres para mostrar como «Actualización de contraseña», «Protección de Exchange», «Helpdesk- #», «SharePoint» y «Projects_communications» para engañar a las víctimas haciéndoles creer que los mensajes provienen de una fuente legítima y hacer clic en el enlace de phishing integrado en cada correo electrónico.

Microsoft señaló que su producto Defender para Office 365 es capaz de detectar phishing y otras amenazas de correo electrónico y correlaciona los datos de amenazas en el correo electrónico y los datos, los puntos finales, las identidades y las aplicaciones.

Recientemente, los investigadores de WMC Global han detectado una nueva y creativa campaña de phishing de Office 365 que ha estado invirtiendo las imágenes utilizadas como fondos para las páginas de destino para evitar ser marcadas como maliciosas por las soluciones de seguridad que escanean la web en busca de sitios de phishing.