El objetivo final es recolectar nombres de usuario y contraseñas de Microsoft Office 365
Microsoft ha revelado detalles de una campaña evasiva de ingeniería social de un año en la que los operadores siguieron cambiando sus mecanismos de ofuscación y cifrado cada 37 días en promedio, incluida la confianza en el código Morse, en un intento de cubrir sus pistas y cosechar subrepticiamente las credenciales de los usuarios.
Los ataques de phishing toman la forma de señuelos con temas de facturas que imitan las transacciones comerciales relacionadas con las finanzas, y los correos electrónicos contienen un archivo HTML ("XLS.HTML"). El objetivo final es recolectar nombres de usuario y contraseñas, que posteriormente se utilizan como un punto de entrada inicial para posteriores intentos de infiltración.
Microsoft comparó el archivo adjunto con un "rompecabezas", y señaló que las partes individuales del archivo HTML están diseñadas para parecer inofensivas y pasar por alto el software de seguridad de terminales, solo para revelar sus verdaderos colores cuando estos segmentos se decodifican y ensamblan juntos. La compañía no identificó a los piratas informáticos detrás de la operación.
Imagen: Ejemplo de mensaje de correo electrónico de phishing con el archivo HTML adjunto
"Esta campaña de phishing ejemplifica la amenaza de correo electrónico moderna: sofisticada, evasiva y en constante evolución", dijo en un análisis el equipo de inteligencia de amenazas de Microsoft 365 Defender. "El archivo adjunto HTML se divide en varios segmentos, incluidos los archivos JavaScript utilizados para robar contraseñas, que luego se codifican mediante varios mecanismos. Estos atacantes pasaron de usar código HTML de texto sin formato a emplear múltiples técnicas de codificación, incluidos antiguos e inusuales métodos de cifrado como el código Morse, para ocultar estos segmentos de ataque".
Al abrir el archivo adjunto, se abre una ventana del navegador que muestra un falso cuadro de diálogo de credenciales de Microsoft Office 365 en la parte superior de un documento de Excel borroso. El cuadro de diálogo muestra un mensaje instando a los destinatarios a iniciar sesión nuevamente debido a razones por las que supuestamente se agotó el tiempo de espera para acceder al documento de Excel. En el caso de que el usuario ingrese la contraseña, se alerta a la persona que la contraseña ingresada es incorrecta, mientras que el malware recolecta sigilosamente la información en segundo plano.
Imagen: Cuadro de diálogo de credenciales de muestra con una imagen de Excel borrosa de fondo. Si el logotipo de la organización del usuario objetivo está disponible, el cuadro de diálogo lo mostrará. De lo contrario, muestra los logotipos de Office 365.
Se dice que la campaña ha experimentado 10 iteraciones desde su descubrimiento en julio de 2020, y el adversario cambia periódicamente sus métodos de codificación para enmascarar la naturaleza maliciosa del archivo adjunto HTML y los diferentes segmentos de ataque contenidos en el archivo.
Microsoft dijo que detectó el uso de código Morse en las oleadas de ataques de febrero y mayo de 2021, mientras que se encontró que variantes posteriores del kit de phishing dirigían a las víctimas a una página legítima de Office 365 en lugar de mostrar un mensaje de error falso una vez que se ingresaron las contraseñas.
Imagen: Anatomía de una campaña de phishing
"Los ataques basados en correo electrónico continúan haciendo nuevos intentos de eludir las soluciones de seguridad del correo electrónico", dijeron los investigadores. "En el caso de esta campaña de phishing, estos intentos incluyen el uso de mecanismos de encriptación y ofuscación multicapa para tipos de archivos existentes conocidos, como JavaScript. La ofuscación multicapa en HTML también puede eludir las soluciones de seguridad del navegador".
