El objetivo de PerSwaysion es robar las credenciales de Microsoft Office 365
En los últimos meses, múltiples grupos de atacantes comprometieron con éxito las cuentas de correo electrónico corporativas de al menos 156 ejecutivos de alto rango en varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.
Denominada 'PerSwaysion', la campaña de ciberataques recién descubierta aprovechó los servicios de intercambio de archivos de Microsoft, incluidos Sway, SharePoint y OneNote, para lanzar ataques de phishing altamente dirigidos.
Según un informe que el equipo de Inteligencia de amenazas del Grupo IB publicó ayer, las operaciones de PerSwaysion atacaron a ejecutivos de más de 150 compañías en todo el mundo, principalmente con negocios en los sectores de finanzas, derecho e inmobiliario.
"Entre estas víctimas de ejecutivos de alto rango, aparecieron más de 20 cuentas de ejecutivos, presidentes y directores gerentes de Office365".
Hasta ahora exitoso y aún en curso, la mayoría de las operaciones de PerSwaysion fueron orquestadas por estafadores de Nigeria y Sudáfrica que utilizaron un kit de phishing basado en el framework JavaScript Vue.js, evidentemente, desarrollado y alquilado por piratas informáticos vietnamitas.
"A fines de septiembre de 2019, la campaña PerSwaysion ha adoptado pilas de tecnología mucho más maduras, utilizando Google Appspot para servidores de aplicaciones web de phishing y Cloudflare para servidores de datos".
Al igual que la mayoría de los ataques de phishing con el objetivo de robar las credenciales de Microsoft Office 365, los correos electrónicos fraudulentos enviados como parte de la operación PerSwaysion también atrajeron a las víctimas con un archivo adjunto PDF no malicioso que contiene el enlace 'leer ahora' a un archivo alojado con Microsoft Sway.
"Los atacantes eligen servicios legítimos de intercambio de contenido basado en la nube, como Microsoft Sway, Microsoft SharePoint y OneNote para evitar la detección del tráfico", dijeron los investigadores.
A continuación, la página de presentación especialmente diseñada en el servicio Microsoft Sway contiene además otro enlace 'leer ahora' que redirige a los usuarios al sitio de phishing real, esperando que las víctimas ingresen sus credenciales de cuenta de correo electrónico u otra información confidencial.
Una vez robados, los atacantes pasan inmediatamente al siguiente paso y descargan los datos de correo electrónico de las víctimas del servidor utilizando las API de IMAP y luego se hacen pasar por sus identidades para atacar aún más a las personas que tienen comunicaciones de correo electrónico recientes con la víctima actual y desempeñan roles importantes en la misma u otras compañías.
"Finalmente, generan nuevos archivos PDF de phishing con el nombre completo, la dirección de correo electrónico y el nombre legal de la compañía de la actual víctima. Estos archivos PDF se envían a una selección de personas nuevas que tienden a estar fuera de la organización de la víctima y ocupan puestos importantes. Los operadores de PerSwaysion suelen eliminar los correos electrónicos de suplantación de la bandeja de salida para evitar sospechas".
"La evidencia indica que es probable que los estafadores usen perfiles de LinkedIn para evaluar las posibles posiciones de las víctimas. Tal táctica reduce la posibilidad de una alerta temprana por parte de los compañeros de trabajo de la víctima actual y aumenta la tasa de éxito del nuevo ciclo de phishing".
Aunque no hay evidencia clara de cómo están utilizando los atacantes los datos corporativos comprometidos, los investigadores creen que se puede 'vender a granel a otros estafadores financieros para llevar a cabo estafas monetarias tradicionales'.
Group-IB también ha creado una página web en línea donde cualquiera puede verificar si su dirección de correo electrónico se vio comprometida como parte de los ataques de PerSwaysion, sin embargo, solo debes usarla e ingresar tu correo electrónico si esperas ser atacado.