En los últimos meses, varios grupos de atacantes comprometieron con éxito las cuentas de correo electrónico corporativas de al menos 156 funcionarios de alto rango en varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.
Apodado ‘perswaysion‘la campaña de ciberataque recién detectada aprovechó los servicios de intercambio de archivos de Microsoft, incluidos Sway, SharePoint y OneNote, para lanzar ataques de phishing altamente dirigidos.
Según un informe del equipo de inteligencia de amenazas de Group-IB publicado hoy y compartido con The Hacker News, las operaciones de PerSwaysion atacaron a ejecutivos de más de 150 empresas en todo el mundo, principalmente en los sectores de finanzas, derecho e inmobiliario.
«Entre estas víctimas de oficiales de alto rango, aparecieron más de 20 cuentas de Office365 de ejecutivos, presidentes y directores generales».
Hasta ahora exitosas y aún en curso, la mayoría de las operaciones de PerSwaysion fueron orquestadas por estafadores de Nigeria y Sudáfrica que utilizaron un kit de phishing basado en el marco JavaScript Vue.js, evidentemente, desarrollado y alquilado por piratas informáticos de habla vietnamita.
«A fines de septiembre de 2019, la campaña de PerSwaysion adoptó pilas de tecnología mucho más maduras, utilizando Google Appspot para servidores de aplicaciones web de phishing y Cloudflare para servidores back-end de datos».
Al igual que la mayoría de los ataques de phishing destinados a robar las credenciales de Microsoft Office 365, los correos electrónicos fraudulentos enviados como parte de la operación PerSwaysion también atrajeron a las víctimas con un archivo adjunto en PDF no malicioso que contenía un enlace «leer ahora» a un archivo alojado con Microsoft Sway.
«Los atacantes eligen servicios legítimos para compartir contenido basados en la nube, como Microsoft Sway, Microsoft SharePoint y OneNote para evitar la detección del tráfico», dijeron los investigadores.
A continuación, la página de presentación especialmente diseñada en el servicio Microsoft Sway contiene además otro enlace ‘leer ahora’ que redirige a los usuarios al sitio de phishing real, esperando que las víctimas ingresen sus credenciales de cuenta de correo electrónico u otra información confidencial.
Una vez robados, los atacantes pasan inmediatamente al siguiente paso y descargan los datos de correo electrónico de las víctimas del servidor utilizando las API de IMAP y luego se hacen pasar por sus identidades para atacar a las personas que tienen comunicaciones de correo electrónico recientes con la víctima actual y tienen roles importantes en el mismo u otro. empresas.
«Finalmente, generan nuevos archivos PDF de phishing con el nombre completo, la dirección de correo electrónico y el nombre legal de la empresa de la víctima actual. Estos archivos PDF se envían a una selección de nuevas personas que tienden a estar fuera de la organización de la víctima y ocupan puestos importantes. The PerSwaysion los operadores suelen eliminar los correos electrónicos suplantados de la bandeja de salida para evitar sospechas».
«La evidencia indica que es probable que los estafadores usen los perfiles de LinkedIn para evaluar las posibles posiciones de las víctimas. Tal táctica reduce la posibilidad de una advertencia temprana de los compañeros de trabajo de la víctima actual y aumenta la tasa de éxito del nuevo ciclo de phishing».
Aunque no hay pruebas claras de cómo los atacantes utilizan los datos corporativos comprometidos, los investigadores creen que se pueden «vender a granel a otros estafadores financieros para realizar estafas monetarias tradicionales».
Group-IB también ha creado una página web en línea donde cualquier persona puede verificar si su dirección de correo electrónico se vio comprometida como parte de los ataques de PerSwaysion; sin embargo, solo debe usarla e ingresar su correo electrónico si espera ser atacado.
