phishing dirigido

Hace unos días publiqué un análisis de cómo intentaron atacar a PabloYglesias haciéndose pasar por los creadores del popular juego Genshin Impact, que me ofrecían un acuerdo publicitario en mis perfiles sociales.

Pues hoy vuelvo con otro ataque, esta vez haciéndose pasar por un antiguo cliente.

Diferente modus operandi, pero el mismo objetivo, como veremos a continuación.

El gancho

Como decía, el ataque comienza con un email que me envía Eva, una antigua cliente de Èlia y un servidor, que tenía un negocio relacionado con el TANTRA.

El email simplemente decía:

¡Hola!
Recibí los recibos esenciales de febrero. La documentación es accesible aquí:

[URL]

contraseña: [TEXTO]

Por supuesto, cambiando la URL por un documento subido a One Drive, y la contraseña por un texto que a priori permitiría descomprimir el archivo.

Justo después, que fue lo que me extrañó, venían las conversaciones que habíamos tenido hace ya años (2018) cuando trabajamos juntos.

Es más, el propio email parecía una respuesta a aquel hilo de emails cuando empezamos a trabajar (si te fijas, el asunto era RE: TANTRA, siendo RE: lo que suelen poner los gestores de correo cuando se responde a un email).

Sin embargo, había cosas que no cuadraban:

  • La primera y más obvia es que el correo no era el mismo que tenía Eva en su día: Es más, la página del dominio parece ser un WordPress abandonado de algún negocio asiático. Vamos, a todas luces una página hackeada.
  • Habían eliminado de las respuestas los emails de todos los participantes: esto supongo que lo harán para evitar que la víctima se dé cuenta de que el email que le escribe no concuerda con los emails originales.
  • La forma de escribir es… extraña: ¿Recibos esenciales? ¿Qué significa eso?
  • Ya hace años que no sé nada de Eva: Suponiendo que me quisiera enviar alguna documentación, qué sentido tiene cuando hace literalmente años que ya hicimos el trabajo para el que nos contrató. No hace falta firmar nada ni que me envíe nada.

El ataque

Básicamente el objetivo era exactamente el mismo que el anterior ataque dirigido que me hicieron.

La URL en efecto pertenecía a una cuenta de One Drive (podría haber sido una página falsa para robar credenciales, pero no era el caso), así que descargué el archivo, que como decía, era un .ZIP protegido por contraseña.

Hacen esto de meter archivos comprimidos y protegidos por contraseña por dos motivos:

  • Así pasan fácilmente los controles de seguridad de plataformas de almacenaje online, como es el caso de OneDrive, o en el ataque del otro día, de Mega.
  • Además, dan un halo de «seguridad» a todo el proceso: Por que claro, todo el mundo sabe que un archivo protegido con contraseña es más seguro que uno que no lo está…
virus descarga

Sea como fuere, dentro de ese archivo comprimido se encontraba un archivo de Hoja de Calculo en formato .XLSB.

Por supuesto, ese archivo no lo abrí, sino que lo envié a VirusTotal (ES) para confirmar mi sospecha.

En efecto, el archivo ocultaba un troyano.

troyano xlsx

Simplemente con abrirlo ya me hubieran infectado el dispositivo.

Y hasta aquí puedo contar.

¿Qué podemos hacer para minimizar el riesgo a caer en un ataque de estos?

Piensa que estamos ante lo que podemos llamar un ataque dirigido, es decir, que el atacante se ha tomado como mínimo el tiempo suficiente para saber quién era yo, recuperar esa conversación con un cliente, cambiarle el nombre de la cuenta de email desde la que envía a la que tenía la cliente en cuestión, e intentar atacarme en su nombre.

Es decir, previamente a este ataque muy probablemente a Eva le hayan hackeado su cuenta de correo o el servidor de correo. De ahí le han sacado estas conversaciones, e igual que me están ahora enviando este email a mi, seguramente le han enviado emails parecidos a otros contactos.

Y el problema de estos ataques es que son mucho más difíciles de identificar. Hasta el punto de que, de hacerlos correctamente, no hay apenas manera humana de darse cuenta.

Sin embargo, afortunadamente en este caso parece que ya no tienen acceso a su correo, puesto que no han utilizado su dirección de correo como remitente, por lo que nuevamente se demuestra que aplicar las tres reglas para identificar campañas de phishing siguen funcionando.

Por último, y también como curiosidad, este tipo de correos han pasado por los controles anti-phishing de una plataforma como Google, que es hoy en día de las más potentes del mercado, pero la realidad es que la amplia mayoría de ataques de phishing que me lanzan a mi correo ni tan siquiera me llegan, ya que que en la empresa trabajamos todo desde el ecosistema GSuite, que como ya expliqué en su día, nos evita tener que recibir este tipo de campañas (prácticamente todas) a diario en la bandeja de entrada.

Algo que recomendamos encarecidamente a todos los clientes de CyberBrainers, al salir muchísimo más económico que montarse un IDS y configurar un corta-fuegos efectivo inhouse.

Otros timos que deberías conocer: