Distribución de Phishings a través de servicios legítimos

Investigadores de ProofPoint han descubierto una nueva campaña de phishing que utiliza AWS (Amazon Web Services) para alojar las webs fraudulentas.

A finales de julio ProofPoint detectaba que algunos de sus phishings monitorizados estaban alojados en AWS, algo poco habitual dadas las restricciones a las que están sometidos para su temprana detección.

La tendencia en los ataques de phishing parece estar tomando un nuevo camino: cada vez se hace más habitual encontrar los kits fraudulentos en servicios de almacenamiento en la nube como GitHub, Dropbox o Google Drive.

Pero no solo están almacenando los kits en la nube, además aprovechan servicios como WeTransfer o DocuSign para distribuir páginas que redirijan a los phishing y eludir así las defensas del correo electrónico a la hora de comprobar si la URL es fraudulenta. Los atacantes aprovechan un servicio legítimo que genera una falsa confianza en la víctima de la que aprovecharse para que haga clic en el correo y abra el archivo HTML que la redirija a la página fraudulenta.

Algo similar está ocurriendo con AWS. Los cibercriminales están utilizando diferentes técnicas de codificación mediante JavaScript para evitar que las páginas sean detectadas como una amenaza. Hay que tener en cuenta que los atacantes buscan en todo momento no ser detectados, por ello han incrementado el uso de plataformas de almacenamiento en la nube para alojar estas páginas falsas.

Como ya hemos visto, AWS no es la única empresa que se está viendo afectada por este problema. Otras como Microsoft o Github lo han sufrido.

Más información:

Proofpoint
https://www.proofpoint.com/us/threat-insight/post/phishing-actor-using-xor-obfuscation-graduates-enterprise-cloud-storage-aws

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.