Está circulando una nueva campaña de spear phishing a través de correos falsos con el asunto “Nuevo Voicemail” que busca obtener credenciales de correo corporativas de Outlook. Para que el engaño sea más elaborado los cibercriminales preparan los correos y los dirigen específicamente al destinatario de la cuenta ―una caracterísitica de este tipo de phishing que apunta directamente a un organismo, y para lo que los cibercriminales realizan una investigación previa para obtener datos precisos de la empresa apuntada.

Hay, además, dos detalles particulares en esta campaña: el archivo adjunto es .SVG (Scalable Vector Graphic) y que los atacantes utilizaron la misma dirección de correo del destinatario como remitente, lo que se conoce como email spoofing: es una técnica de suplantación de identidad utilizada en correos que hace más creíbles este tipo de engaños porque utilizan dirección de correo reales.

¿Cuál puede ser el impacto de este tipo de campañas para las empresas?

Es importante tener en cuenta que el spear phishing, básicamente, se aprovecha de las vulnerabilidades humanas: con mensajes muy personalizados (como el que compartimos en este posteo), este tipo de ataque logra engañar incluso a los usuarios más atentos. Y puede adoptar diversas formas: un correo electrónico, un mensaje privado o una llamada telefónica.

Las consecuencias para las empresas pueden ser desde el robo de datos bancarios e información personal de sus colaboradores, hasta el acceso a redes corporativas para realizar espionaje o sabotaje, o instalar malware (como ransomware), en dispositivos y sistemas.

De hecho, muchos de los ataques que han afectado a empresas y organizaciones de todo el mundo comenzaron con ataques de spear phishing.

¿En qué consiste esta campaña?

La campana utiliza correos escritos en inglés que se presentan de una manera personalizada para el destinatario y en el asunto avisa falsamente que llegó un "Nuevo Voicemail".

El caso que compartiremos a continuación está dirigido a un departamento, sector o área de una empresa, tal como Administración, Recursos humanos o Comunicación.

spear-phishing-ataque-voicemail

Además de estos detalles, se observa la misma dirección de correo del destinatario como remitente, es decir, simula que el correo fue enviado por la misma cuenta a la que llegó, para darle más seguridad falsa al receptor (email spoofing)

El nombre del archivo adjunto es new voicemail  más el nombre del dominio del correo de la empresa apuntada. Se trata de un archivo .SVG, un tipo de archivo que se está utlizando cada vez más en este tipo de ataques para dificultar la detección, según detalla el sitio especializado Bleeping Computer.

Lectura recomendada
¿Cómo una empresa puede prevenir el spoofing de su dominio de correo?

¿Cómo funciona el ataque?

El Laboratorio de ESET Latinoamérica, en su análisis del caso, detectó que luego de descargar el archivo malicioso se abre el navegador en una página que ofrece un link para poder escuchar el supuesto voicemail. Al hacer clic en “listen to voicemail”, el enlace redirecciona a un sitio de phishing que se hace pasar por Outlook.

spear-phishing-ataque-contenido-voicemail

La dirección del sitio falso es https[:]//voizemaiil.plnlon.eu y la URL está encodeada en base64. Y aquí lo más importante: la página contiene un enlace malicioso para supuestamente reproducir el mensaje de voz, en su lugar solicita solicita las credenciales de acceso, que serán enviadas al servidor de los atacantes.

spear-phishing-ataque-outlook-voicemail

¿Cómo evitar ser víctima de un ataque de spear phishing?

Como comprobamos con esta campaña, el spear phishing representa una amenaza muy sofisticada y que requiere una atención especial.

Por eso, para estar prevenido y no ser víctima de este tipo de ataques, es fundamental adoptar ciertas buenas prácticas que mitigarán este riesgo en gran medida:

  1. Comprobar siempre la autenticidad de los mensajes. Es aconsejable sospechar de aquellas solicitudes que llegan de manera inesperada en correos electrónicos o mensajes.
  2. No hacer clic en enlaces desconocidos. Un buen tip es pasar el ratón por encima del enlace en cuestión para comprobar cuál es la dirección real antes de hacer clic.
  3. Utilizar la (2FA), que brinda una capa extra de protección a todas tus cuentas.
  4. Mantener los sistemas y el software actualizados, ya que a través de las actualizaciones se corrigen las vulnerabilidades que pueden ser explotadas por los ciberdelincuentes.
  5. Implementar una solución de seguridad robusta, que brinde protección contra el malware y el phishing para así proteger tus dispositivos.