Ciberdelincuentes desarrollaron una técnica de phishing que consiste en el envío de “notificaciones legítimas de SharePoint” capaces de sortear las medidas ‘antispam’ del correo electrónico, a pesar de que integran enlaces fraudulentos que les permiten acceder a información de sus víctimas.
El phishing es una técnica consistente en el envío de un correo electrónico por parte de usuarios malintencionados simulando ser una entidad legítima, como una red social o un banco, con el objetivo de robar información confidencial o promover acciones ilegítimas, como realizar transacciones económicas.
Una investigación llevada a cabo por Avanan en 2018 determinó que los cibercriminales habían empezado a implementar un nuevo formato de robo de información a través de la herramienta de colaboración empresarial Sharepoint, que habría afectado entonces a aproximadamente el 10 por ciento de los clientes de Microsoft Office 365 a nivel mundial, y que se ha extendido hasta la actualidad.
Esta compañía de soluciones de seguridad indicó entonces que los piratas informáticos utilizaban SharePoint para alojar enlaces de phishing e insertarlos en documentos enviados a través de este servicio de Microsoft.
Esta estafa comienza cuando la víctima recibe un correo electrónico que contiene, presuntamente, un enlace a un documento de SharePoint. A pesar de ser fraudulento, este correo electrónico pasa desapercibido porque el cuerpo del mensaje es idéntico a una invitación estándar de esta herramienta de Microsoft para colaborar.
Una vez hecho clic sobre este enlace, se abre un documento que se hace pasar por una solicitud de acceso estándar a un archivo de OneDrive aunque, precisamente el hipervínculo que permite el ‘Acceso al documento’ es malicioso.
Este, entonces, dirige al usuario a una pantalla de inicio de sesión de Office 365 falsificada, de modo que, cuando el usuario introduce sus credenciales, los agentes maliciosos las recopilan y las guardan para usos no autorizados.
Desde Avanan matizaron en su investigación que, a pesar de que Microsoft implementaba medidas de seguridad en sus servicios, especialmente en Outlook, a través del cual se propaga la mayoría de estos ataques, los atacantes aprovechaban “una falla crítica en Office 365″ para propagar esta campaña.
Concretamente, el llamado ‘PhishPoint’ puede eludir la seguridad de este servicio de Microsoft porque Office 365 analiza los vínculos en los cuerpos de los correos electrónicos, pero en estos ‘emails’ fraudulentos los enlaces sí que llevan a documentos de SharePoint reales y legítimos. Es dentro de ellos donde se introducen los enlaces maliciosos.
Envío de notificaciones legítimas
Este método de ataque ha sufrido una ligera variación según ha informado recientemente Kaspersky, que ha dado a conocer su nueva iteración mediante el envío de notificaciones legítimas por parte de SharePoint.
Gracias a este nuevo formato, los ciberdelincuentes pueden sortear la vigilancia de los empleados con más nociones tecnológicas, puesto que estas alertas se envían en nombre de la organización o empresa para la que trabajan.
Las víctimas reciben un mensaje que explica que alguien ha compartido un archivo de OneNote con ellos a través de SharePoint. Debido a que el correo es legítimo, evita los controles de ‘spam’ de Microsoft Outlook “más fácilmente” que un enlace de phishing oculto en un servidor de esta herramienta colaborativa, según la firma de seguridad.
Una vez hecho clic sobre el enlace, se redirige a la víctima hacia una notificación de archivo de OneNote que, a su vez, incluye un enlace de phishing estándar que presuntamente permite abrir este documento y que aparece identificado como click view (Haz clic aquí para visualizarlo).
En realidad, este enlace conduce a una web de phishing que imita la página de Microsoft OneDrive, que los estafadores utilizan para robar credenciales de cuentas como Yahoo!, AOL y Outlook; y plataformas como Microsoft Office 365.
*Con información de Europa Press.