Muchas campañas típicas de phishing optan por un enfoque de “rociar y rezar” para llegar a la mayor cantidad posible de víctimas potenciales pero… El dia de hoy, hablaremos de el phishing selectivo el cual es una metodología mucho más específica que ve campañas altamente personalizadas implementadas contra organizaciones o individuos específicos. Y eso nos lleva a VIP3R, una campaña de phishing identificado recientemente por el equipo de Menlo Labs.
La campaña se dirigió a más de 150 organizaciones que abarcan una variedad de industrias, desde contratistas financieros, automotrices, tecnológicos y de defensa. Cabe destacar que las muestras utilizan muchos rasgos comunes de Business Email Compromise. El From está enmascarado para que parezca que proviene de la empresa, hay un archivo adjunto de un “recibo”, y el Asunto que denota que se está recibiendo un archivo. El mal actor fue más allá e intentó enmascararlo como un correo electrónico automatizado de Microsoft Office 365 poniendo en el cuerpo del mensaje “Enviado a través de Microsoft OneDrive”.
El mal actor fue más allá e intentó enmascararlo como un correo electrónico automatizado de Microsoft Office 365 poniendo en el cuerpo del mensaje “Enviado a través de Microsoft OneDrive”.
El uso de un adjunto HTML es clave; estos tipos de archivos están exentos de los bloqueos predeterminados que se encuentran en la mayoría de las puertas de enlace de correo electrónico seguras (SEG) debido a su uso común entre las grandes empresas financieras para enviar correos electrónicos cifrados.
Habiendo analizado la campaña VIP3R, la evidencia sugiere que estos archivos adjuntos HTML están siendo creados automáticamente por un sofisticado kit generador de carga útil. Por desgracia, el equipo de Menlo Labs no ha podido verificar esto todavía, a pesar de haber pasado mucho tiempo buscándolo.
Al llegar a las páginas de phishing suplantadas, se solicitará a las víctimas que envíen sus credenciales, que luego se validarán y verificarán en el lado del servidor utilizando la biblioteca PHPMailer. Como resultado, el nombre de usuario y la contraseña de la víctima se enviarían directamente a una dirección de correo electrónico controlada por el atacante.
Si este proceso de verificación falla, se envía un mensaje de error al usuario a través del navegador, quien luego es redirigido al equivalente legítimo del sitio web de phishing. Por otro lado, si la verificación del correo electrónico y la contraseña de la víctima fue exitosa, el cliente sería dirigido a un pdf alojado en Microsoft OneDrive.
Como resultado, la campaña VIP3R no solo elude los bloques SEG predeterminados, sino que también brinda a los atacantes una forma fácil y única de validar las credenciales de las víctimas por lo que debemos tener mucho cuidado con lo que abrimos.
