Portada » Home » La campaña VIP3R utiliza archivos adjuntos HTML para eludir la seguridad del correo electrónico

La campaña VIP3R utiliza archivos adjuntos HTML para eludir la seguridad del correo electrónico

Un grupo de investigadores observó nuevas campañas de spear-phishing dirigidas a ciertas organizaciones y personas a través de archivos adjuntos HTML infectados.

Los investigadores han detectado la campaña de spear-phishing con una cadena única de DH4 VIP3R L337 con 147 señuelos para robar las credenciales de 164 usuarios pertenecientes a empresas de seguridad y servicios financieros.

El ataque empleó cargas útiles de archivos adjuntos HTML personalizados dirigidos a las víctimas. Si se abre, las víctimas son dirigidas a una página de phishing que se hace pasar por un servicio que usan con frecuencia.
Los tipos de archivos adjuntos HTML están excluidos de los bloques predeterminados utilizados por Secure Email Gateways (SEG).

Estos SEG se utilizan en grandes empresas financieras para enviar correos electrónicos cifrados.

Los archivos adjuntos HTML se crean automáticamente mediante un sofisticado kit generador de carga. Los investigadores aún no lo han verificado, aunque el kit generador está siendo rastreado como Generador VIP3R_L33T.

Si una víctima visita las páginas de phishing suplantadas, se le insta a ingresar su nombre de usuario y contraseña.

Una vez que se proporcionan las credenciales, se envían directamente a la dirección de correo electrónico de los atacantes.

Estas credenciales luego se validan y verifican en el lado del servidor usando la biblioteca PHPMailer. Si la verificación falla, se envía un mensaje de error al usuario a través del navegador y se lo redirige a la página equivalente legítima del sitio web de phishing.

Si la verificación del correo electrónico y la contraseña de la víctima es exitosa, se dirige al cliente a un PDF alojado en Microsoft OneDrive.