El 12 de enero de 2025, se emitió un aviso de seguridad sobre un aumento reciente en los ataques de phishing que afectan a diversas organizaciones, incluidas entidades gubernamentales, agencias de aplicación de la ley e instituciones educativas. Esta campaña de phishing se centra en el robo de información confidencial mediante la suplantación de identidades oficiales, utilizando correos electrónicos que contienen archivos adjuntos y enlaces maliciosos.
Detalles del Ataque
Los correos electrónicos de phishing emplean líneas de asunto que imitan comunicaciones auténticas, como notificaciones de seguridad o actualizaciones. Los remitentes falsifican direcciones que se asemejan a dominios legítimos de entidades gubernamentales o educativas. El contenido se presenta de manera formal y a menudo incluye una solicitud de acción urgente, como hacer clic en enlaces o descargar archivos adjuntos, así como menciones a procedimientos que parecen oficiales.
Los archivos adjuntos que se utilizan suelen tener extensiones como .rar, .pdf, .url y .html, y algunos pueden estar renombrados con la extensión “-ms” para eludir filtros de seguridad. Además, los enlaces en estos correos pueden redirigir a páginas de inicio de sesión falsas, donde se solicita la recopilación de información confidencial.
Ejemplos de Enlaces y Dominios Sospechosos
Uno de los enlaces señalados es:
https://mail-mod-gov-bd-account-data-file.netlify.app/data.html?pdf=
Este enlace está alojado en Netlify, un servicio que permite crear sitios web gratuitos, y se presenta como relacionado con un dominio gubernamental ("gov-bd"). Sin embargo, el nombre del archivo y el parámetro de la consulta sugieren que no hay un PDF real vinculado, alertando sobre su falta de legitimidad.
Otros enlaces sospechosos incluyen:
https://mail.coastguard.govmm.org/ULfwhxNchttps://forms.yandex.ru/cloud/...
Las tácticas empleadas en estas campañas son consideradas de alto riesgo, y las direcciones IP involucradas en los ataques han sido documentadas como indicadores de compromiso (IoC).
Medidas de Mitigación
Para contrarrestar estos riesgos, se proponen varias medidas de seguridad:
-
Proteger Información: No hacer clic en enlaces desconocidos y verificar las direcciones de correo electrónico del remitente para evitar suplantaciones.
-
Reportar Incidentes: Los correos electrónicos sospechosos deberían ser reportados al equipo de TI o usando herramientas destinadas a informar sobre phishing.
-
Seguridad de Credenciales: Evitar compartir información de inicio de sesión a través de email y habilitar la autenticación multifactor (MFA) en cuentas críticas.
-
Formación y Concienciación: Realizar capacitación regular sobre tácticas de phishing y maneras de identificar posibles amenazas.
-
Monitoreo de IoCs: Utilizar las listas de IoCs y establecer reglas de detección que se adapten a los entornos operativos específicos.
-
Mantenimiento de la Seguridad del Sistema: Actualizaciones frecuentes y parches de software son esenciales para cerrar vulnerabilidades, al igual que aplicar el principio de privilegio mínimo a las cuentas de usuario.
- Responder a Incidentes: Contar con un plan de respuesta ante incidentes de phishing y actuar rápidamente ante reportes de actividades sospechosas, contactando a las autoridades correspondientes.
Conclusión
El incremento del phishing dirigido a entidades críticas subraya la importancia de la vigilancia constante y la educación en ciberseguridad. Implementar las medidas recomendadas puede ayudar a mitigar los riesgos y mantener la integridad de la información y los sistemas dentro de las organizaciones afectadas. Para más información y recursos de seguridad, los interesados pueden consultar el documento PDF completo relacionado con este aviso.