El Centro de Defensa contra el Phishing (PDC) ha revelado la detección de una nueva campaña diseñada para extraer las credenciales de inicio de sesión de los usuarios de Cisco WebEx abusando de una herramienta de seguridad incluida en la aplicación.
Para sorpresa de la comunidad de la ciberseguridad, la herramienta Secure Email Gateway fue incapaz de detectar esta actividad maliciosa, lanzada en el preciso momento en el que millones de personas están empleando herramientas de comunicación remota ante la imposibilidad de desplazarse a sus centros de trabajo.
Aunque Cisco WebEx ha sido objeto de ataques cibernéticos anteriormente, el incremento del trabajo desde casa debido a la pandemia mundial ha favorecido a los grupos de actores de amenazas que buscan comprometer la información confidencial de los usuarios de esta plataforma. Incluso PDC prevé que estos reportes seguirán incrementando durante los próximos meses.
Los mensajes de estas campañas se caracterizan por tres factores fundamentales:
- Contienen supuestos comunicados emitidos por alguna autoridad
- Los mensajes ofrecen supuestas ofertas o promociones que, acorde a los expertos, son demasiado buenas para ser verdad
- Los usuarios con menos conocimientos en ciberseguridad son más propensos a caer en la trampa
En esta campaña de phishing, las víctimas reciben un email con un asunto relacionado con temas de “Actualización crítica” o “Alerta de Seguridad”.
Los especialistas en ciberseguridad consideran que los hackers han ideado una campaña muy astuta, pues incluso han falsificado un servicio comercial legítimo y empleado enlaces a una reseña de una vulnerabilidad legítima, identificada como CVE-2016-9223. Para que su mensaje sea más convincente, el artículo contenido en el enlace utiliza la misma redacción que el correo electrónico.
Además, los hackers crearon una URL falsa (https://globalpagee-prod-webex.com/signin) bastante similar a la URL real de Cisco WebEx (http://globalpage-prod.webex.com/sigin). Al analizar detenidamente, resulta obvio que la URL falsificada contiene una “e” adicional y utiliza un guión en lugar de un punto al final.
Para completar el ataque, los actores de amenazas registraron un dominio fraudulento usando el sistema DNS, incluso obteniendo un certificado SSL para el dominio. Este sitio de phishing redirige a los usuarios a una página de inicio de sesión falsa de Cisco WebEx notablemente parecida a la página real. Una vez que un usuario inicia sesión, los atacantes extraen sus credenciales de WebEx que pueden venderse en dark web o usarse para lanzar ataques adicionales contra el usuario objetivo.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.