Nuevos mails suplantan empresas de ciberseguridad
Los hackers se hacen pasar por conocidas empresas de ciberseguridad, como CrowdStrike, en correos electrónicos de suplantación de identidad para obtener un acceso inicial a las redes corporativas.
La mayoría de las campañas de phishing incluyen enlaces a páginas de destino que roban las credenciales de acceso o correos electrónicos que incluyen archivos adjuntos maliciosos para instalar malware.
Sin embargo, en el último año, los actores de la amenaza han utilizado cada vez más campañas de phishing de «devolución de llamada» que suplantan a empresas conocidas solicitando que se llame a un número para resolver un problema, cancelar la renovación de una suscripción o discutir otro asunto.
Cuando el objetivo llama a los números, los actores de la amenaza utilizan la ingeniería social para convencer a los usuarios de que instalen un software de acceso remoto en sus dispositivos, proporcionando un acceso inicial a las redes corporativas. Este acceso se utiliza después para comprometer todo el dominio de Windows.
Ver: 52% de empleados afirma ser víctima de phishing
Suplantación de empresas de ciberseguridad
En una nueva campaña de phishing de devolución de llamada, los hackers se hacen pasar por CrowdStrike para advertir a los destinatarios de que intrusos maliciosos de la red han comprometido sus estaciones de trabajo y que se requiere una auditoría de seguridad en profundidad.
Estas campañas de phishing de devolución de llamada se centran en la ingeniería social, explicando detalladamente por qué se les debe dar acceso al dispositivo del destinatario, como se muestra en el fragmento de correo electrónico siguiente.
«Durante la auditoría diaria de la red hemos identificado actividad anormal relacionada con el segmento de la red del que forma parte su puesto de trabajo. Hemos identificado al administrador de dominio específico que administraba la red y sospechamos de un compromiso potencial que puede afectar a todas las estaciones de trabajo dentro de esta red, incluida la suya. Por lo tanto, estamos realizando una auditoría detallada de todas las estaciones de trabajo.
Ya nos hemos puesto en contacto directamente con su departamento de seguridad de la información, sin embargo, para abordar el compromiso potencial de la estación de trabajo de la ubicación, nos remitieron a los operadores individuales de estas estaciones de trabajo, es decir, los empleados».
En última instancia, el correo electrónico de phishing pide a los empleados que les llamen a un número de teléfono adjunto para programar la auditoría de seguridad de sus estaciones de trabajo.
Si llaman, los hackers guiarán al empleado a través de la instalación de herramientas de administración remota (RAT) que permiten a los actores de la amenaza obtener el control total de la estación de trabajo.
Estos actores de la amenaza pueden ahora instalar remotamente herramientas adicionales que les permiten extenderse lateralmente a través de la red, robar datos corporativos y potencialmente desplegar ransomware para cifrar dispositivos.
En un informe de CrowdStrike, la compañía cree que esta campaña probablemente conducirá a un ataque de ransomware, como se vio con anteriores campañas de phishing de devolución de llamada.
«Esta es la primera campaña de callback identificada que se hace pasar por entidades de ciberseguridad y tiene un mayor potencial de éxito dada la naturaleza urgente de las violaciones cibernéticas», advierte CrowdStrike.
CrowdStrike señala que en marzo de 2022, sus analistas identificaron una campaña similar en la que los actores de la amenaza utilizaron AteraRMM para instalar Cobalt Strike y luego moverse lateralmente en la red de la víctima antes de desplegar el malware.
Posiblemente relacionado con el ransomware Quantum
Las campañas de phishing de devolución de llamada se hicieron comunes en 2021 con el lanzamiento de las campañas de phishing BazarCall utilizadas por la banda de ransomware Conti para obtener el acceso inicial a las redes corporativas.
Desde entonces, las campañas de phishing de devolución de llamada han utilizado varios señuelos, incluyendo suscripciones de antivirus y soporte técnico y renovaciones de cursos en línea.
Vitali Kremez, de AdvIntel, dijo a BleepingComputer que se cree que la campaña vista por CrowdStrike está dirigida por la banda de ransomware Quantum, que ha lanzado su propia campaña similar a la de BazarCall.
«AdvIntel descubrió el 21 de junio de 2022 que Quantum estaba preparando una nueva COI basada en un actor de la amenaza que se hacía pasar por un profesional de TI de Mandiant o CrowdStrike en un esfuerzo por convencer a una víctima de que permitiera al actor de la amenaza realizar una «revisión» de la máquina de la víctima», se lee en un informe de la solución de prevención de amenazas Andariel de la compañía compartido con BleepingComputer.
Quantum es una de las operaciones de ransomware dirigidas a empresas que más rápido está creciendo en estos momentos, y recientemente se le atribuyó un ataque a PFC que afectó a más de 650 organizaciones sanitarias.
Los analistas de seguridad también han confirmado que muchos antiguos miembros de Conti han abandonado el barco hacia Quantum después de que la antigua operación cerrara debido al aumento del escrutinio por parte de los investigadores y las fuerzas del orden.
Aunque en el pasado era difícil que este tipo de correos electrónicos de phishing tuvieran un éxito masivo, en la situación actual, con muchos empleados que trabajan a distancia desde casa y lejos de su equipo de TI, las perspectivas de los actores de la amenaza aumentan significativamente.
Fuente: BleepingComputer