- El phishing en dos pasos evade la seguridad con acciones activadas por el usuario
- Los portales falsos de Microsoft recopilan rápidamente credenciales de inicio de sesión confidenciales
- La detección avanzada de amenazas es la clave para combatir el phishing
Un ataque de phishing en dos etapas aprovecha archivos de Microsoft Visio (.vsdx) y SharePoint, lo que marca un nuevo capítulo en el fraude cibernético, advirtieron los expertos.
Investigadores de seguridad de Perception Point informe Aumento espectacular de los ataques que aprovechan archivos .vsdx.
Estos archivos, que hasta ahora no se han utilizado en campañas de phishing, se utilizan como mecanismo de entrega cuando las víctimas son dirigidas a páginas de phishing que imitan los portales de inicio de sesión de Microsoft 365, diseñadas para robar las credenciales de los usuarios.
El phishing explota plataformas confiables
Los ataques de phishing en dos etapas superponen acciones maliciosas para evadir la detección. En lugar de entregar contenido malicioso directamente, estas campañas se basan en plataformas confiables como Microsoft SharePoint para alojar archivos aparentemente legítimos.
Los atacantes incorporan URL dentro de archivos de Microsoft Visio que redirigen a las víctimas a sitios web maliciosos cuando se hace clic en ellos. Este enfoque en capas hace que la detección por parte de los sistemas de seguridad de correo electrónico tradicionales sea más desafiante.
Microsoft Visio, una herramienta muy utilizada para crear diagramas profesionales, se ha convertido en un nuevo vector de visualización. Los atacantes utilizan cuentas comprometidas para enviar correos electrónicos que contienen archivos de Visio que parecen provenir de fuentes confiables, a menudo haciéndose pasar por comunicaciones comerciales urgentes, como propuestas u órdenes de compra, para provocar una acción inmediata.
Debido a que los atacantes usan cuentas robadas, estos correos electrónicos a menudo pasan controles de autenticación y es más probable que eludan los sistemas de seguridad de los destinatarios. En algunos casos, los atacantes incluyen archivos .eml dentro de los correos electrónicos, incorporando URL maliciosas que conducen a archivos alojados en SharePoint.
Los atacantes incorporan un botón en el que se puede hacer clic dentro de un archivo de Visio, normalmente titulado “Ver documento”. Para acceder a la URL maliciosa, se pide a las víctimas que mantengan presionada la tecla Ctrl y hagan clic en el botón. Esta interacción, que requiere la acción manual del usuario, elude los sistemas de seguridad automatizados que no pueden replicar dichos comportamientos.
Para mitigar los riesgos que plantean estas sofisticadas campañas de phishing, Perception Point recomienda que las organizaciones adopten soluciones avanzadas de detección de amenazas, incluido el análisis dinámico de URL para identificar enlaces maliciosos, modelos de reconocimiento de objetos para señalar archivos sospechosos y mecanismos de autenticación para minimizar el impacto de las cuentas comprometidas.
