La campaña de phishing utilizó correos electrónicos fraudulentos que incluían un archivo PDF o código HTML. Los archivos PDF eran enviados como solicitudes para firmar documentos a través de DocuSign, mientras que el código HTML contenía enlaces que dirigían a los usuarios a páginas de hospedaje en HubSpot. Estas páginas contenían formularios diseñados para imitar un inicio de sesión en Outlook, lo que engañaba a las víctimas para que introdujeran sus credenciales.
HubSpot, la plataforma utilizada para crear los formularios, no se vio comprometida durante la campaña. Por su parte, DocuSign tomó medidas preventivas adicionales tras el descubrimiento de la campaña, reafirmando su compromiso con la seguridad y privacidad de sus usuarios.
Los atacantes adaptaban el contenido y el nombre de los archivos enviados según la empresa objetivo, utilizando formularios en los que los empleados eran instados a proporcionar su firma digital. Cuando un empleado hacía clic en “Ver documento”, era redirigido a una URL que contenía el formulario fraudulento, el cual mencionaba «nube segura de Microsoft», un intento de hacer que el engaño pareciera legítimo.
El análisis de la campaña reveló algunos indicadores clave de phishing, como la urgencia en el mensaje y la falta de autenticación del remitente, ya que en muchos casos el dominio del remitente no coincidía con el esperado. Durante la investigación, se encontraron 17 formularios activos que llevaban a las páginas del atacante, todos ellos en el dominio .buzz y con un diseño similar.
Los atacantes además implementaron un método para mantener el acceso a las cuentas hackeadas. Esto incluía agregar un nuevo dispositivo a la cuenta de la víctima y forzar un restablecimiento de contraseña inmediatamente después de que el control había recuperado la cuenta, generando un enfrentamiento continuo por el control de las credenciales.
Los investigadores también identificaron numerosos enlaces maliciosos y direcciones IP asociadas con la campaña, así como nombres de archivos PDF engañosos utilizados para distribuir el malware. Con esta información, se ofrecieron recomendaciones para ayudar a las empresas a reconocer y defenderse contra tales ataques.
La información identificó distintos enlaces maliciosos que conducían a páginas de phishing y estaban conectados con diferentes campañas. La identificación y reporte de estas amenazas se vuelve crucial para mitigar riesgos futuros.
En resumen, la investigación de Unidad 42 evidencia la sofisticación y adaptabilidad de las campañas de phishing, especialmente aquellas que apuntan a empresas en sectores críticos. A medida que los atacantes perfeccionan sus técnicas, es imperativo que las organizaciones continúen educando a sus empleados sobre las mejores prácticas en ciberseguridad y mantengan medidas preventivas para proteger su infraestructura digital.
Enlace de la fuente, haz clic para tener más información