Ciberdelincuentes evaden las protecciones de Microsoft Office 265

16/08/2018

Investigadores de seguridad han advertido de un nuevo ataque de phishing que los ciberdelincuentes y estafadores de correo electrónico están usando para eludir el mecanismo de protección avanzada contra amenazas (ATP) implementado por los servicios de correo electrónico ampliamente utilizados como Microsoft Office 365.

Microsoft Office 365 es una solución integral para usuarios que ofrece varios servicios en línea, incluidos Exchange Online, SharePoint Online, Lync Online y otras aplicaciones web de Office, como Word, Excel, PowerPoint, Outlook y OneNote.

Además de estos servicios, Microsoft también ofrece inteligencia artificial y protección de seguridad impulsada por aprendizaje automático para ayudar a defenderse contra posibles ataques de phishing y otras amenazas, yendo a un nivel profundo para examinar los enlaces en los cuerpos de correo electrónico para buscar cualquier dominio sospechoso o que sean de lista negra.

Pero los ciberdelincuentes siempre encuentran una forma de eludir las protecciones de seguridad para victimizar a los usuarios.

Hace poco más de un mes, los estafadores usaron la técnica de ZeroFont para imitar a una compañía popular y engañaron a los usuarios para que revelaran su información personal y bancaria.

En mayo de 2018, también se descubrió que los ciberdelincuentes dividían la URL maliciosa de tal forma que la característica de seguridad de Safe Links en Office 365 no identifica y reemplaza el hipervínculo parcial, lo que eventualmente redirige a las víctimas al sitio de phishing.

¿Cómo funciona el ataque de phishing de SharePoint?

Estos problemas fueron abordados por Microsoft en la parte final, pero ahora se han encontrado ciberdelincuentes utilizando un nuevo truco para eludir las protecciones de seguridad integradas de Office 365 y los usuarios de phishing, esta vez al insertar enlaces maliciosos en documentos de SharePoint.

La misma empresa de seguridad en la nube Avanan, que descubrió los dos ataques de phishing mencionados anteriormente, descubrió una nueva campaña de correo electrónico de phishing en el entorno de usuarios de Office 365, que reciben correos electrónicos de Microsoft que contienen un enlace a un documento de SharePoint.

El cuerpo del mensaje del correo electrónico parece idéntico a una invitación estándar de SharePoint de alguien para colaborar. Una vez que el usuario hizo clic en el hipervínculo en el correo electrónico, el navegador abre automáticamente un archivo de SharePoint.

El contenido del archivo de SharePoint se hace pasar por una solicitud de acceso estándar a un archivo de OneDrive, pero un botón "Acceder al documento" en el archivo está hipervinculado a una URL maliciosa, según los investigadores.

Después, el enlace malicioso redirige a la víctima a una pantalla de inicio de sesión de Office 365 falsificada, pidiéndole al usuario que ingrese sus credenciales, que luego son aprovechadas por ciberdelincuentes.

Microsoft escanea el cuerpo de un correo electrónico, incluidos los enlaces proporcionados en él, pero dado que los enlaces en la última campaña de correo electrónico conducen a un documento real de SharePoint, la empresa no lo identificó como una amenaza.

"Para identificar esta amenaza, Microsoft tendría que escanear los enlaces dentro de los documentos compartidos para las URL de phishing. Esto presenta una clara vulnerabilidad que los atacantes han aprovechado para propagar los ataques de phishing", dijeron los investigadores.

"Incluso si Microsoft escaneara los enlaces dentro de los archivos, se enfrentarían a otro desafío: no podían incluir en la lista negra la URL sin incluir enlaces a todos los archivos de SharePoint. Si incluían en la lista negra el archivo Sharepoint, los ciberatacantes podrían crear fácilmente una nueva URL "

Por lo tanto, ninguna protección podría alertar a los usuarios de phishing, hasta que no estén lo suficientemente capacitados como para detectar dichos intentos de phishing.

Según la compañía de seguridad en la nube, este nuevo ataque de phishing fue aprovechado contra el 10% de sus clientes de Office 365 en las últimas dos semanas, y la firma cree que el mismo porcentaje se aplica a los usuarios de Office 365 a nivel mundial.

Por lo tanto, para protegerse, se debe sospechar de las URL en el cuerpo del correo electrónico si utiliza URGENTE o ACCIÓN REQUERIDA en el asunto, incluso si recibe correos electrónicos que parecen seguros.

Cuando se presenta una página de inicio de sesión, se recomienda que siempre verifique la barra de direcciones en el navegador web para saber si la URL está realmente alojada por el servicio legítimo o no.

Lo que es más importante, siempre use la autenticación de dos factores (2FA), por lo que incluso si los atacantes obtienen acceso a su contraseña, aún deben esforzarse por obtener el segundo paso de autenticación.

Sin embargo, los investigadores señalaron que si este ataque hubiera implicado enlaces para activar una descarga de malware en lugar de dirigir a los usuarios a una página de phishing, "el ataque habría causado daño cuando el usuario hiciera clic a la URL".

Artículos relacionados: