Nueva campaña de phishing abusa de un trío de servicios empresariales en la nube

Una nueva campaña de phishing utiliza un trío de servicios empresariales en la nube, Microsoft Azure, Microsoft Dynamics e IBM Cloud, como parte de un intento de robar credenciales de inicio de sesión. BleepingComputer analizó recientemente una nueva campaña de suplantación de identidad (phishing) que pretende ser de una mesa de ayuda llamada «servicedesk.com» que […]

Una nueva campaña de phishing utiliza un trío de servicios empresariales en la nube, Microsoft Azure, Microsoft Dynamics e IBM Cloud, como parte de un intento de robar credenciales de inicio de sesión.

BleepingComputer analizó recientemente una nueva campaña de suplantación de identidad (phishing) que pretende ser de una mesa de ayuda llamada «servicedesk.com» que imita una redacción similar utilizada por dominios reales de asistencia técnica de TI en entornos corporativos.

El correo electrónico imita una notificación de «correo en cuarentena» que se envía con frecuencia en los lugares de trabajo por productos de seguridad de correo electrónico y filtros de correo no deseado, pidiéndole al usuario que «libere» mensajes atascados en la cola.

La dirección «De:» (sobre) en el correo electrónico aparece como » noreply@servicedesk.com » , y aunque los dominios de los remitentes pueden ser falsificados fácilmente, los encabezados de correo para esta campaña de phishing muestran que el correo electrónico se envió a través de este dominio.

Como se puede ver en los encabezados de correo electrónico a continuación, el correo electrónico de phishing se envía a través de un dominio intermediario «cn.trackhawk.pro», pero el dominio de origen es claramente «servicedesk.com».

En la mayoría de los escenarios de falsificación de correo electrónico, una discrepancia entre el dominio de correo electrónico «De:» y el dominio que figura en el encabezado inferior «Recibido:» es una bandera roja.

En esta campaña, el dominio «servicedesk.com» se usa en la dirección «De:» (sobre) coincide con el dominio que figura en el último encabezado «Recibido:», lo que hace que sea más fácil evitar los filtros de spam.

Los dominios de Microsoft e IBM agregan legitimidad

El uso de tres soluciones empresariales conocidas como el alojamiento en la nube de IBM, Microsoft Azure y Microsoft Dynamics para alojar las páginas de aterrizaje de phishing agrega legitimidad a la campaña.

Esto es especialmente cierto ya que los dominios alojados en Azure (windows.net) o IBM Cloud obtienen automáticamente certificados SSL gratuitos que contienen los nombres de estas empresas, lo que agrega aún más legitimidad.

En el correo electrónico de phishing hay botones con la etiqueta «MENSAJES DE LIBERACIÓN» o «NUBE DE LIMPIEZA» que, cuando se hace clic en ellos, llevan al usuario a una URL legítima de Microsoft Dynamics 365.

Esta URL luego redirige al usuario a un dominio de IBM Cloud, cf.appdomain.cloud utilizado para las implementaciones de Cloud Foundry de IBM , para alojar la página de inicio de phishing.

Esta página de destino está diseñada con cierto grado de conocimiento por parte del atacante, ya que ingresar una contraseña de «prueba» que es demasiado débil arrojará una «contraseña incorrecta». error.

Ingresar una contraseña de longitud y complejidad decentes, tal vez una vez que coincida con los criterios establecidos por IBM Cloud, redirigirá al usuario a otra página falsa confirmando el host de actualización de configuración en el dominio de alojamiento de Microsoft Azures, windows.net.

Esta página maliciosa eventualmente redirige al usuario al sitio web asociado con su dominio de dirección de correo electrónico.

En este caso, el destino final sería «axsharma.com».

Esta mayor complejidad permite a los atacantes evitar los filtros de spam y los productos de seguridad, lo que lleva a una mayor necesidad de mejores sistemas de seguridad.