La empresa de ciberseguridad ESET advierte que está circulando una nueva campaña de spear phishing a través de correos falsos con el asunto “Nuevo Voicemail”, que busca obtener credenciales de correo corporativas de Outlook.
Este tipo de phishing se caracteriza por su efectividad al ser correos altamente personalizados, los cibercriminales realizan una investigación previa para obtener datos precisos de la empresa.
En la campaña analizada, se destaca por dos detalles particulares. El primero es que el archivo adjunto es .SVG (Scalable Vector Graphic) y, además, porque los atacantes utilizan la misma dirección de correo del destinatario como remitente. Esto se conoce como email spoofing, una técnica de suplantación de identidad utilizada en correos que hace más creíbles este tipo de engaños porque utilizan dirección de correo reales.
“Es importante tener en cuenta que el spear phishing, básicamente, se aprovecha de las vulnerabilidades humanas: con mensajes muy personalizados. Este tipo de ataque logra engañar incluso a los usuarios más atentos. Puede adoptar diversas formas, desde un correo electrónico, un mensaje privado hasta una llamada telefónica.
Las consecuencias para las empresas pueden ser desde el robo de datos bancarios e información personal de sus colaboradores, hasta el acceso a redes corporativas para realizar espionaje o sabotaje, o instalar malware (como ransomware), en dispositivos y sistemas.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.
Esta campaña utiliza correos escritos en inglés que se presentan de una manera personalizada para el destinatario y en el asunto avisa falsamente que llegó un «Nuevo Voicemail». En este caso, está dirigido a un departamento, sector o área de una empresa, tal como Administración, Recursos humanos o Comunicación.
Además de estos detalles, se observa la misma dirección de correo del destinatario como remitente, es decir, simula que el correo fue enviado por la misma cuenta a la que llegó, para darle más seguridad falsa al receptor (email spoofing).
El nombre del archivo adjunto es new voicemail más el nombre del dominio del correo de la empresa apuntada. Se trata de un archivo .SVG, un tipo de archivo que se está utlizando cada vez más en este tipo de ataques para dificultar la detección, según detalla el sitio especializado Bleeping Computer.
El Laboratorio de ESET Latinoamérica, en su análisis del caso, detectó que luego de descargar el archivo malicioso se abre el navegador en una página que ofrece un link para poder escuchar el supuesto voicemail. Al hacer clic en “listen to voicemail”, el enlace redirecciona a un sitio de phishing que se hace pasar por Outlook.
La dirección del sitio falso es https[:]//voizemaiil.plnlon.eu y la URL está encodeada en base64. Y aquí lo más importante, la página contiene un enlace malicioso para reproducir el mensaje de voz, en su lugar solicita las credenciales de acceso, que serán enviadas al servidor de los atacantes.
Para estar prevenido y no ser víctima de este tipo de ataques, desde ESET comentan que es fundamental comprobar la autenticidad de los mensajes; no hacer clic en enlaces desconocidos; utilizar el doble factor de autenticación (2FA); mantener los sistemas y el software actualizados; e implementar una solución de seguridad robusta.