”Tienes documentos pendientes sin descargar”, el nuevo phishing que suplanta a WeTransfer

Investigadores de Cofense detectaron una reciente campaña de phishing que imita las aplicaciones legítimas de WeTransfer mediante la creación de sitios web falsos que se ven muy similares al original. Esto permite a los actores de amenazas evadir las puertas de enlace de seguridad del correo electrónico (SEG) para atraer a los usuarios a compartir […]

Investigadores de Cofense detectaron una reciente campaña de phishing que imita las aplicaciones legítimas de WeTransfer mediante la creación de sitios web falsos que se ven muy similares al original.

Esto permite a los actores de amenazas evadir las puertas de enlace de seguridad del correo electrónico (SEG) para atraer a los usuarios a compartir sus credenciales.

WeTransfer es un sitio de alojamiento de archivos que permite a los usuarios un fácil acceso para compartir archivos. Con la popularidad del servicio, es probable que los usuarios pasen por alto el nivel de amenaza dentro del correo electrónico. Los actores de amenazas han vuelto a crear una imagen de este sitio para atraer a los destinatarios desprevenidos a hacer clic en un enlace malicioso que los redirige a la página de phishing, lo que hace que los usuarios entreguen sus credenciales.

Los archivos que se envían por Wetransfer generan un link de descarga que tiene un ciclo de vida de una semana, luego de eso llega un mail avisando que el link caducará, y es precisamente de ese último punto que toman ventaja los ciberdelincuentes para crear la estafa.

El botón de descarga en realidad es una trampa para robar credenciales redirigiendo a otro sitio falso. Otro punto interesante es la autenticidad de la dirección de correo electrónico. El actor de amenazas se ha esforzado en falsificar la dirección de correo electrónico para asegurar a los destinatarios que el correo electrónico llegó desde el dominio de nivel superior de WeTransfer correcto: “@ wetransfer.com”.

La suplantación de la dirección de correo electrónico es la técnica más común utilizada en las campañas de phishing para ganar la confianza del usuario. El ID de mensaje expuesto indica el dominio de nivel superior: @boretvstar [.] Com, que no está relacionado con WeTransfer.

La investigación además destaca que @boretvstar [.] Com está a la venta y, cuando se accede, conduce a una página de error: “No se puede acceder a este sitio”. Esta es otra bandera roja. Y, finalmente, están las comprobaciones fallidas del marco de políticas del remitente (SPF), lo que indica que no es una dirección auténtica de wetransfer.com.

En la etapa final del ataque, una vez que el usuario hace clic en el botón, se le redirige a la página falsa de WeTransfer. Ahí se le solicita al usuario que ingrese sus credenciales para descargar el archivo compartido.

La página de destino de suplantación de identidad se rellena previamente con la dirección de correo electrónico del usuario en el campo de inicio de sesión. Después de ingresar la contraseña, se muestra al usuario un intento fallido de inicio de sesión, que es una táctica común utilizada por los actores de amenazas. Además, también existe otra opción para autenticar a los usuarios a través de diferentes plataformas online (Apple, Google o Slack). Esta es otra táctica común que los actores de amenazas usan para recolectar múltiples credenciales.