Este email de phishing puede evadir su firewall fácilmente

Escrito por Jose Rivera

11 abril, 2021

Phishing evadir firewall

Un grupo cibercriminal está desplegando una campaña de phishing que emplea un sitio web fraudulento para recopilar credenciales de Microsoft Office 365 creando fragmentos de código HTML almacenados de forma local y remota. Este método involucra en la integración de diversas piezas de HTML ocultas en archivos JavaScript para obtener la interfaz de inicio de sesión falsa en la que la víctima entrega su información confidencial.

Las potenciales víctimas reciben un archivo adjunto disfrazado como un documento de Excel que en realidad se trata de un documento HTML con un fragmento de texto codificado en la URL. Un reporte elaborado por los investigadores de Trustwave señala que al decodificar este texto es posible encontrar más contenido codificado.

Un análisis posterior arrojó la presencia de enlaces a dos archivos JavaScript alojados en “yourjavascript.com“, que ha sido recientemente asociado a otras campañas de phishing

Estos archivos JavaScript contenían dos bloques de texto codificado para ocultar el código HTML, la URL y la codificación en Base64. Uno de estos archivos contiene una sección del sitio web de phishing y el código para validar la dirección email y la contraseña de la víctima. Por otra parte, el segundo archivo JavaScript contiene la función “enviar”, ubicada a través del formulario y el código para desencadenar un mensaje emergente informando a las víctimas que su conexión había fallado y tenían que autenticarse de nuevo.

Los expertos de Trustwave decodificaron casi 400líneas de código HTML, agrupadas en cinco fragmentos en los dos archivos JavaScript y uno en el archivo adjunto enviado a la víctima, lo que daba como resultado el sitio web de phishing de Office 365 como si se tratara de las piezas de un rompecabezas.

Lea esta noticia similar  ¿Qué es un EDR? ¿Por qué es diferente de un antivirus?

Los especialistas mencionan que lo más extraño sobre esta campaña es que el código malicioso es descargado en fragmentos ocultos desde una ubicación remota para luego ser ensamblado en una ubicación local: “Esto permite a los actores de amenazas esquivar mecanismos de protección como Secure Email Gateways.”

Finalmente, Trustwave menciona que la URL que recibe las credenciales robadas en esta campaña se mantiene activa, por lo que es necesario que los administradores de cuentas Office 365 se mantengan al tanto de estos riesgos de seguridad, ignorando cualquier email enviado por usuarios desconocidos y tratando de no visitar sitios web potencialmente maliciosos.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

Fuente: NoticiasCiberseguridad

Escrito por Jose Rivera

Vea otras noticias interesantes:

Síganos en nuestras redes sociales

Le compartiremos contenido valicioso para que se mantenga actualizado en el campo

Nuestros cursos

CYBER401 Q1-2024 – Analista de Ciberseguridad

Conozca sobre nuestro curso de analista en Ciberseguridad y adéntrese en el mundo de los delitos informáticos y como proteger a las empresas ente los ataques

0 Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *