Compte! Els atacs de pesca són més intel·ligents amb la validació de correu electrònic en temps real
Els ciberdelinqüents estan augmentant el nivell amb un nou gir inquietant sobre el robatori de credencials, utilitzant la validació de correu electrònic en temps real per fer que els atacs de pesca siguin més eficients i més difícils de detectar. Els investigadors de Cofense han identificat aquesta tàctica en evolució i l'han batejat com a "phishing de validació de precisió", un mètode que redueix la llista d'objectius a només aquelles adreces de correu electrònic confirmades com a actives i valuoses.
A diferència de les campanyes de pesca tradicionals que fan una xarxa àmplia i esperen uns quants mos, aquest nou enfocament és precís i deliberat. En lloc d'enviar pàgines d'inici de sessió fraudulentes a usuaris aleatoris, els atacants primer verifiquen que l'adreça de correu electrònic introduïda en una pàgina de pesca existeix a la seva base de dades d'objectius precollits. Si es verifica, la víctima es presenta amb una pantalla d'inici de sessió falsa dissenyada per robar credencials. Si no, es redirigiran a un lloc benigne com la Viquipèdia, que ajuda al lloc de pesca a evitar la detecció per part d'escàners de seguretat automatitzats.
Aquesta verificació en temps real és possible mitjançant la inserció d'una API o una eina de validació de correu electrònic basada en JavaScript al kit de pesca. El resultat? Dades robades de més qualitat, menys esforç malgastat i una campanya de pesca que és més difícil de detectar i tancar per a les eines de ciberseguretat.
Taula de continguts
Filtrar les víctimes per obtenir el màxim impacte
Cofense adverteix que aquesta tècnica no només augmenta les possibilitats de robar credencials de comptes reals en ús, sinó que també complica el treball dels sandbox automatitzats i les eines de rastreig dissenyades per capturar llocs web maliciosos. Aquests sistemes sovint no superen la comprovació de validació, cosa que permet que la pàgina de pesca romangui activa durant més temps i eviti que se'l marqui com a sospitosa.
Aquest nivell de filtratge ofereix als actors de l'amenaça un avantatge important. En concentrar-se en objectius verificats, redueixen el risc d'exposició i augmenten el retorn de la inversió. La tàctica també ajuda a allargar la vida útil de les campanyes de pesca, cosa que dificulta que els defensors es mantinguin al dia.
El truc de phishing per suprimir fitxers utilitza un atac de dues vessants
A més del perill, els atacants estan combinant aquestes tàctiques avançades amb estratègies d'enginyeria social. Una campanya observada recentment utilitza recordatoris d'eliminació de fitxers com a esquer. Les víctimes reben un correu electrònic que sembla enllaçar a un PDF programat per suprimir-se des d'una plataforma d'allotjament de fitxers legítima, files.fm. Si feu clic a l'enllaç, els porta al servei d'allotjament real, on poden accedir al que sembla un fitxer PDF.
Aquí teniu el truc: els usuaris tenen dues opcions: previsualització o descàrrega. La previsualització obre una pàgina d'inici de sessió de Microsoft falsa destinada a recollir credencials, mentre que la descàrrega desencadena la instal·lació d'un executable que es dissimula com a Microsoft OneDrive. El programa és en realitat ScreenConnect, una eina legítima d'escriptori remot de ConnectWise, sovint abusada per actors d'amenaça per accedir-hi no autoritzats.
Segons Cofense, l'atac està dissenyat intel·ligentment per manipular el comportament dels usuaris. Les víctimes es veuen obligades a escollir entre dues opcions igualment perilloses, cadascuna conduint al compromís del seu sistema de diferents maneres. Aquesta configuració de dues vessants garanteix que l'actor de l'amenaça assoleixi el seu objectiu, ja sigui el robatori de credencials o el desplegament de programari maliciós.
Phishing combinat amb accés remot i tàctiques de Vishing
En un altre desenvolupament alarmant, els investigadors de ciberseguretat han descobert una campanya d'atac en diverses etapes que combina el phishing amb estafes telefòniques (vishing), eines d'accés remot i tècniques de "viure fora de la terra". Aquesta operació sofisticada s'alinea amb el grup d'actors d'amenaça Storm-1811 (també conegut com STAC5777).
L'atac comença amb un missatge de Microsoft Teams que conté una càrrega útil de PowerShell maliciosa. Un cop obtingut l'accés inicial, els atacants utilitzen la funció d'assistència ràpida de Microsoft per controlar el sistema de forma remota. A partir d'aquí, instal·len programari legítim com TeamViewer juntament amb un DLL maliciós carregat lateralment i, finalment, despleguen una porta posterior d'ordres i control basada en JavaScript mitjançant Node.js.
Aquests incidents posen de manifest la creixent complexitat i creativitat de les amenaces de pesca actuals. Amb tàctiques que combinen sofisticació tècnica i manipulació psicològica, els atacants aconsegueixen eludir les defenses tradicionals i enganyar fins i tot els usuaris prudents.
La millor defensa segueix sent la vigilància. Les organitzacions han de mantenir-se informades sobre aquestes amenaces emergents i els usuaris s'han de pensar dues vegades abans de fer clic als enllaços, introduir credencials o descarregar fitxers, per molt legítims que puguin semblar.