Una novedosa campaña de phishing aprovechó la infraestructura legítima de Dropbox y eludió con éxito los protocolos de autenticación multifactor (MFA), según reveló una nueva investigación de Darktrace.
El ataque destaca la creciente explotación de servicios populares legítimos para engañar a los objetivos para que descarguen malware y revelen las credenciales de inicio de sesión.
Los hallazgos también muestran cómo los atacantes se están volviendo expertos en evadir los protocolos de seguridad estándar, incluidas las herramientas de detección de correo electrónico y MFA.
Hablando a InfoseguridadHanah Darley, jefa de investigación de amenazas en Darktrace, señaló que si bien es común que los atacantes aprovechen la confianza que los usuarios tienen en servicios específicos imitando los correos electrónicos normales que reciben, en este caso, los actores de la amenaza fueron un paso más allá y aprovechó la plataforma legítima de almacenamiento en la nube Dropbox para llevar a cabo sus ataques de phishing.
Los atacantes aprovecharon la infraestructura de Dropbox
Los atacantes se dirigieron a un cliente de Darktrace el 25 de enero de 2024, y 16 usuarios internos del entorno SaaS de la organización recibieron un correo electrónico de ‘no-reply@dropbox’.[.]com.’ Esta es una dirección de correo electrónico legítima utilizada por el servicio de almacenamiento de archivos de Dropbox.
El correo electrónico contenía un enlace que llevaría al usuario a un archivo PDF alojado en Dropbox, que aparentemente llevaba el nombre de un socio de la organización.
Este archivo PDF contenía un enlace sospechoso a un dominio que nunca antes se había visto en el entorno del cliente, llamado ‘mmv-security[.]arriba.’
Los investigadores observaron que hay “muy poco que distingue” los correos electrónicos maliciosos o benignos de los correos electrónicos automatizados utilizados por servicios legítimos como Dropbox. Por lo tanto, este enfoque es eficaz para evadir las herramientas de seguridad del correo electrónico y convencer a los objetivos de que hagan clic en un enlace malicioso.
Este correo electrónico fue detectado y retenido por la herramienta de seguridad de correo electrónico de Darktace. Sin embargo, el 29 de enero un usuario recibió otro correo electrónico del legítimo no-reply@dropbox.[.]com, recordándoles que abran el archivo PDF previamente compartido.
Aunque el mensaje se movió al archivo basura del usuario, el empleado abrió el correo electrónico sospechoso y siguió el enlace al archivo PDF. El dispositivo interno conectado al enlace malicioso mmv-security[.]arriba unos días después.
Este enlace conducía a una página de inicio de sesión falsa de Microsoft 365, diseñada para recopilar las credenciales de titulares legítimos de cuentas SaaS.
Los investigadores agregaron que el enfoque de hacerse pasar por organizaciones confiables como Microsoft es una forma efectiva de parecer legítimo ante los objetivos.
Los atacantes lograron eludir la MFA
El 31 de enero, Darktrace observó varios inicios de sesión sospechosos de SaaS desde múltiples ubicaciones inusuales que nunca antes habían accedido a la cuenta.
Los inicios de sesión inusuales posteriores el 1 de febrero se asociaron con ExpressVPN, lo que indica que los actores de la amenaza utilizaron una red privada virtual (VPN) para enmascarar su ubicación real.
Estos inicios de sesión parecían utilizar un token MFA válido, lo que sugiere que los atacantes habían eludido con éxito la política MFA de la organización.
Los investigadores creen que el empleado pudo, sin saberlo, haber aprobado una solicitud de autenticación MFA en su propio dispositivo una vez que comprometió las credenciales.
“Al utilizar tokens válidos y cumplir con los requisitos necesarios de MFA, los actores de amenazas a menudo pueden pasar desapercibidos para las herramientas de seguridad tradicionales que ven a MFA como la solución milagrosa”, escribieron los investigadores.
A pesar de que los atacantes eludieron MFA con credenciales legítimas, el equipo de seguridad de la organización aún fue alertado sobre la actividad sospechosa después de identificar actividad inesperada en las cuentas SaaS.
darley dijo Infoseguridad que el incidente demuestra que las organizaciones ya no pueden confiar en MFA como última línea de defensa contra los ciberataques.
“Eludir MFA, como en este caso, es ahora una táctica frecuente utilizada por los atacantes, especialmente dado su éxito al otorgar acceso a recursos compartidos, como archivos de SharePoint, que pueden ser explotados”, destacó.
El actor de amenazas muestra persistencia
Poco después de la omisión de MFA, Darktrace observó otro inicio de sesión inusual en la cuenta SaaS, utilizando el servicio VPN HideMyAss.
En esta ocasión, el actor de amenazas creó una nueva regla de correo electrónico en la cuenta de Outlook comprometida, cuyo objetivo era mover inmediatamente cualquier correo electrónico del equipo de cuentas de la organización directamente a la carpeta del buzón “Historial de conversaciones”.
Los investigadores dijeron que este enfoque está diseñado para evitar la detección, moviendo sus correos electrónicos maliciosos y cualquier respuesta a ellos a carpetas de buzones de correo menos visitadas.
Además, el actor envió correos electrónicos de seguimiento con asuntos como “Contrato incorrecto” y “Requiere revisión urgente”.
“Esto probablemente representó que actores de amenazas usaran la cuenta comprometida para enviar más correos electrónicos maliciosos al equipo de cuentas de la organización con el fin de infectar cuentas adicionales en todo el entorno SaaS del cliente”, señalaron los investigadores.
Los ataques de phishing son dirigidos y sofisticados
Los investigadores señalaron que es “relativamente sencillo” para los atacantes abusar de soluciones legítimas de terceros como Dropbox para ataques de phishing, en lugar de depender de su propia infraestructura.
Darley comentó: “El estudio de caso destaca cuán sofisticados se están volviendo los ciberdelincuentes al realizar ataques por etapas. Los correos electrónicos en sí procedían de una dirección legítima de “no respuesta” de Dropbox que generalmente enviaba avisos o enlaces a los clientes”.
“El enlace contenido en el correo electrónico también dirigía a un punto final de almacenamiento legítimo de Dropbox, donde se alojaba un archivo malicioso. Estaba disfrazado de documento de socio, lo que hacía que los correos electrónicos parecieran legítimos”, añadió.
La IA generativa ayuda a los atacantes
Darley señaló que las tecnologías de inteligencia artificial generativa están teniendo un gran impacto al permitir a los atacantes elaborar mensajes de phishing más sofisticados.
rastro oscuro Informe de amenazas de fin de año 2023 descubrió que más del 25% de los casos de phishing observados en la segunda mitad de 2023 contenían más de 1000 caracteres, lo que se debe en gran medida a las capacidades proporcionadas por la IA generativa.
“Estos no son correos electrónicos de ‘carga útil’ con un par de palabras y un enlace dudoso, sino que están muy elaborados y son muy prolijos. También hay casos de ingeniería social mejorada en los que los atacantes acceden a hilos de conversación existentes, haciéndose pasar por colegas o contactos conocidos, intentando imitar el tono de la correspondencia”, explicó Darley.
“Estos casos de mayor sofisticación están siendo posibles gracias a la IA generativa, que está dando a los malos actores más tiempo para dedicarlo a elaborar estrategias en ataques a mayor escala”, añadió.
Haber de imagen: Nopparat Khokthong/Shutterstock.com
