Especialistas en ciberseguridad reportan un repentino incremento en la detección de email de phishing especialmente diseñados para robar las credenciales de Office 365 de los usuarios afectados. Acorde al reporte, presentado por Kaspersky, los actores detrás de esta campaña están utilizando dos kits de phishing diferentes, identificados como Iamtheboss y MIRCBOOT.
Según detallan los investigadores, estos mensajes se presentan como supuestas notificaciones por fax, las cuales podrían resultar llamativas para los usuarios debido a que toman la imagen de diversas compañías reconocidas, incluyendo a la propia Kaspersky, dándole al mensaje una apariencia legítima.
Los expertos mencionan que uno de los objetivos de la campaña es el abuso de Amazon Simple Email Service (SES), que permite a los desarrolladores enviar emails desde las aplicaciones de Amazon. Esta campaña se basa en un token de SES robado usado por un contratista externo durante las pruebas del sitio web 2050.earth; este sitio web formaba parte de un proyecto de Kaspersky que presentaba un mapa interactivo alojado en la infraestructura de Amazon, lo que lo convirtió en un objetivo de interés para los hackers.
Por ahora se desconoce qué otras compañías se han visto afectadas por una campaña similar, aunque el reporte sugiere que los actores de amenazas están en posesión de otros tokens SES. Después de identificar esta campaña, el token SES de Kaspersky fue revocado como medida de seguridad.
Como se menciona anteriormente, los emails de phishing asociados a esta campaña generalmente se ocultan bajo la fachada de una “notificación de fax” que redirige a los usuarios a una plataforma donde se extraerán sus credenciales de Office 365. A continuación se muestra un ejemplo de estos mensajes:
Kaspersky identificó las herramientas utilizadas por los operadores de la campaña, encontrando el uso de los kits maliciosos Iamtheboss y MIRCBOOT.
MIRCBOOT es un kit de phishing detectado recientemente como parte de una plataforma de phishing como servicio (PhaaS), operaciones que ofrecen a sus afiliados todas las herramientas y asesoría necesaria para desplegar campañas de phishing a cambio de suscripciones mensuales. Se sabe un poco menos sobre el kit de phishing Iamtheboss, aunque los investigadores siguen analizando sus componentes.
Pasan los años y el phishing sigue siendo una de las tácticas de ataque más efectivas y lucrativas para los actores de amenazas. Ante este escenario de riesgo, la mejor opción que tienen las organizaciones es la prevención, pues un ataque de phishing se vuelve más efectivo a medida que los hackers pueden engañar a un usuario objetivo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.