esenfrdeitptru

Contraseñas robadas vía una Campaña de Phishing está disponible en Google Search

AS-12-2021

Fecha:25/Enero/2021

Resumen:

Los operadores detrás de la campaña de phishing se centraban en las empresas de energía y construcción, pero accidentalmente expusieron credenciales robadas en ataques que eran visibles públicamente con una simple búsqueda en Google.

La campaña efectuada desde agosto, tenía el siguiente proceso:

Imagen1 cont rob

Imagen Nro.1 Campaña de Phishing

  • Una vez que la víctima hizo doble clic en el archivo HTML, se abre una imagen borrosa con un correo electrónico preconfigurado dentro del documento en el navegador.
  • Al iniciar el archivo HTML, se ejecutará un código JavaScript en segundo plano, el cual recopila la contraseña, envía los datos al servidor de los atacantes.
  • Finalmente redirigirá al usuario a una página de inicio de sesión legítima de Office 365.

Los atacantes utilizaban infraestructura única y sitios web de WordPress comprometidos utilizados para almacenar los datos robados.

Se descubrió docenas de servidores de WordPress comprometidos que alojaban la página PHP maliciosa (llamada "go.php", "post.php", "gate.php", "rent.php" o "rest.php") y procesamos todas las credenciales entrantes de las víctimas de los ataques de phishing.

Los atacantes suelen preferir utilizar servidores comprometidos en lugar de su propia infraestructura debido a la reputación conocida de los sitios web existentes. Cuanto más ampliamente reconocida sea una reputación, más posibilidades hay de que el correo electrónico no sea bloqueado por los proveedores de seguridad.

Los correos electrónicos se enviaban desde un servidor Linux hospedado en Azure de Microsoft, a menudo se enviaban mediante PHP Mailer 6.1.5. Los atacantes también enviaron mensajes de spam a través de cuentas de correo electrónico comprometidas para hacer que los mensajes parezcan de fuentes legítimas.

Los datos enviados a los servidores de la zona de colocación se guardaron en un archivo visible públicamente que Google puede indexar. Esto significa que estaban disponibles para cualquier persona con una simple búsqueda en Google.

El análisis de un subconjunto de 500 credenciales robadas reveló que las víctimas pertenecen a una amplia gama de industrias objetivo, incluyendo TI, atención médica, bienes raíces y fabricación.

Check Point ha compartido sus hallazgos con Google.

Los expertos notaron que la codificación JavaScript utilizada en esta campaña fue la misma utilizada en otra campaña de phishing de mayo de 2020, una circunstancia que sugiere que el actor de la amenaza está detrás de las dos campañas.

Medidas de prevención.

No acceder a enlaces desconocidos.

Referencias:

[IT-ISAC] Open Source News January 22, 2021

https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html