EchoSpoofing, suplanta a varias populares empresas como Best Buy, IBM, Nike y Walt Disney
Un actor de amenazas desconocido ha sido vinculado a una masiva campaña de estafa que explotó una configuración incorrecta del enrutamiento de correo electrónico en las defensas del proveedor de seguridad de correo electrónico Proofpoint para enviar millones de mensajes suplantando a varias populares empresas como Best Buy, IBM, Nike y Walt Disney, entre otras.
"Estos correos electrónicos se hacían eco de los relés de correo electrónico oficiales de Proofpoint con firmas SPF y DKIM autenticadas, eludiendo así las principales protecciones de seguridad, todo para engañar a los destinatarios y robar fondos y detalles de tarjetas de crédito", dijo en un detallado informe la investigadora de Guardio Labs, Nati Tal.
La empresa de ciberseguridad ha llamado a la campaña EchoSpoofing. Se cree que la actividad comenzó en enero de 2024, cuando el actor de amenazas aprovechó la falla para enviar hasta tres millones de correos electrónicos por día en promedio, un número que alcanzó un pico de 14 millones a principios de junio cuando Proofpoint comenzó a implementar contramedidas.
"La parte más exclusiva y poderosa de este dominio es el método de suplantación de identidad, que prácticamente no deja ninguna posibilidad de darse cuenta de que no se trata de un correo electrónico genuino enviado por esas empresas", dijo Tal.
"Este concepto de EchoSpoofing es realmente poderoso. Es un poco extraño que se esté utilizando para phishing a gran escala como este en lugar de una campaña de phishing selectivo, donde un atacante puede tomar rápidamente la identidad de cualquier miembro real del equipo de la empresa y enviar correos electrónicos a otros compañeros de trabajo, eventualmente, a través de ingeniería social de alta calidad, obtener acceso a datos internos o credenciales e incluso comprometer a toda la empresa.
La técnica, que implica que el actor de la amenaza envíe los mensajes desde un servidor SMTP a un servidor privado virtual (VPS), se destaca por el hecho de que cumple con medidas de autenticación y seguridad como SPF y DKIM, que son las abreviaturas de Sender Policy Framework y DomainKeys Identified Mail, respectivamente, y se refieren a métodos de autenticación diseñados para evitar que los atacantes imiten un dominio legítimo.
Todo se remonta al hecho de que estos mensajes se enrutan desde varios inquilinos de Microsoft 365 controlados por el adversario, que luego se retransmiten a través de las infraestructuras de correo electrónico de los clientes empresariales de Proofpoint para llegar a los usuarios de proveedores de correo electrónico gratuitos como Yahoo!, Gmail y GMX.
Este es el resultado de lo que Guardio describió como una "falla de configuración súper permisiva" en los servidores de Proofpoint ("pphosted.com") que esencialmente permitía a los spammers aprovechar la infraestructura de correo electrónico para enviar mensajes.
"La causa raíz es una función de configuración de enrutamiento de correo electrónico modificable en los servidores de Proofpoint para permitir la retransmisión de mensajes salientes de las organizaciones desde los inquilinos de Microsoft 365, pero sin especificar qué inquilinos de M365 permitir", dijo Proofpoint en un informe de divulgación coordinado.
"Cualquier infraestructura de correo electrónico que ofrezca esta función de configuración de enrutamiento de correo electrónico puede ser objeto de abuso por parte de los spammers".
En otras palabras, un atacante puede utilizar la falla como arma para configurar inquilinos falsos de Microsoft 365 y enviar mensajes de correo electrónico falsificados a los servidores de retransmisión de Proofpoint, desde donde se "reproducen" como mensajes digitales genuinos que se hacen pasar por los dominios de los clientes.
Esto, a su vez, se logra configurando el conector de correo electrónico saliente de Exchange Server directamente al punto final vulnerable pphosted.com asociado con el cliente. Además, se utiliza una versión pirateada de un software legítimo de entrega de correo electrónico llamado PowerMTAPowerMTA para enviar los mensajes.
"El spammer utilizó una serie rotativa de servidores privados virtuales (VPS) alquilados de varios proveedores, usando muchas direcciones IP diferentes para iniciar rápidas ráfagas de miles de mensajes a la vez desde sus servidores SMTP, enviados a Microsoft 365 para ser retransmitidos a los servidores de clientes alojados en Proofpoint", dijo Proofpoint.
"Microsoft 365 aceptó estos mensajes falsificados y los envió a las infraestructuras de correo electrónico de estos clientes para su retransmisión. Cuando se falsificaron los dominios de los clientes durante la retransmisión a través de la infraestructura de correo electrónico del cliente correspondiente, también se aplicó la firma DKIM mientras los mensajes transitaban por la infraestructura de Proofpoint, lo que hizo que los mensajes de spam fueran más fáciles de entregar.
Se sospecha que los operadores eligieron intencionalmente EchoSpoofing como una forma de generar ingresos ilegales y evitar el riesgo de exposición durante prolongados períodos de tiempo, ya que atacar directamente a las empresas a través de este modus operandi podría haber aumentado drásticamente las posibilidades de ser detectado, poniendo en peligro efectivamente todo el esquema.
Dicho esto, actualmente no está claro quién está detrás de la campaña. Proofpoint afirmó que la actividad no se superpone con ningún actor o grupo de amenazas conocido.
"En marzo, los investigadores de Proofpoint identificaron campañas de spam que se transmitían a través de una pequeña cantidad de infraestructura de correo electrónico de clientes de Proofpoint mediante el envío de spam desde los inquilinos de Microsoft 365", dijo en un comunicado". "Todos los análisis indican que esta actividad fue realizada por un actor de spam, cuya actividad no atribuimos a una entidad conocida".
"Desde que descubrimos esta campaña de spam, hemos trabajado diligentemente para brindar instrucciones correctivas, incluida la implementación de una interfaz administrativa optimizada para que los clientes especifiquen qué inquilinos de M365 pueden retransmitir, mientras que todos los demás inquilinos de M365 tienen prohibido hacerlo de forma predeterminada".
Proofpoint enfatizó que ningún dato de los clientes fue expuesto, ni ninguno de ellos experimentó pérdida de datos, como resultado de estas campañas. Señaló además que se puso en contacto directamente con algunos de sus clientes para cambiar sus configuraciones a fin de detener la efectividad de la actividad de spam de retransmisión saliente.
"Cuando empezamos a bloquear la actividad de los spammers, estos aceleraron sus pruebas y se trasladaron rápidamente a otros clientes", señaló la empresa. "Establecimos un proceso continuo de identificación de los clientes afectados cada día y reordenamos las prioridades para solucionar las configuraciones".
Para reducir el spam, insta a los proveedores de VPS a limitar la capacidad de sus usuarios de enviar grandes volúmenes de mensajes desde servidores SMTP alojados en su infraestructura. También pide a los proveedores de servicios de correo electrónico que restrinjan las capacidades de prueba gratuita y de los inquilinos no verificados recientemente creados para enviar mensajes de correo electrónico salientes masivos, así como evitar que envíen mensajes que suplanten un dominio para el cual no han demostrado su propiedad.
"Para los CISO, la principal lección que deben aprender aquí es tener especial cuidado con la postura de la nube de su organización, específicamente con el uso de servicios de terceros que se convierten en la columna vertebral de los métodos de comunicación y redes de su empresa", afirmó Tal. "En particular, en el ámbito del correo electrónico, mantenga siempre un circuito de retroalimentación y un control propio, incluso si confía plenamente en su proveedor de correo electrónico".
"Y en cuanto a otras empresas que ofrecen este tipo de servicios básicos, al igual que lo hizo Proofpoint, deben estar alertas y ser proactivas y pensar en todos los tipos de amenazas posibles en primer lugar. No solo las amenazas que afectan directamente a sus clientes, sino también al público en general.
"Esto es crucial para la seguridad de todos nosotros y las empresas que crean y operan la columna vertebral de Internet, incluso si son privadas, tienen la mayor responsabilidad al respecto. Como dijo alguien, en un contexto totalmente diferente pero tan relevante aquí: “Un gran poder conlleva una gran responsabilidad”.