esenfrdeitptru

Robo de credenciales y amenazas de Malware en mensajes falsos que utilizan los logos de empresas de videoconferencias

 

Fecha de publicación:  19 de abril de 2020

 

Resumen

Investigadores de la empresa Proofpoint han observado incrementos de ataques que buscan robar credenciales y distribuir Malware. Estos ataques se aprovechan del modo de teletrabajo que está aumentando a nivel mundial, por lo que hay un incremento de la demanda de los servicios de videoconferencia durante la pandemia COVID-19. Estos ataques no se efectúan directamente sobre el software de videoconferencia, sino que utilizan los nombres y marcas de las empresas que brindan el servicio de videoconferencia como señuelo, en un ataque de ingeniería social, el cual conduce al robo de varias credenciales de cuenta, distribución de malware entre otros

Esta campaña dice provenir de direcciones tales como:

cisco@webex[.]com

meetings@webex[.]com

Utilizando asuntos de correo como:

Cisco WebEx “Alerta”,"Actualización crítica!", "¡Alerta!" "¡Actualización crítica!", "¡El acceso a tu cuenta será limitado!", "El acceso a tu cuenta estará limitado en 24h." , "¡El acceso a tu cuenta será limitado!", “Critical Update!”, “Alert!” “Critical Update!”, “Your account access will be limited!”, “Your account access will be limited in 24h.”, “Your account access will be limited!”

Los correos electrónicos afirman que el destinatario necesita actualizar su cliente WebEx para "arreglar" una vulnerabilidad de seguridad. Los mensajes abusan del logotipo de Cisco WebEx y suplantan el formato de los avisos de seguridad de Cisco. También parecen dibujar texto e imágenes del aviso legítimo de Cisco cisco-sa-20161221-cco que fue lanzado en diciembre de 2016. Si el destinatario hace clic en el vínculo, le redirigen a la página que se muestra en la figura 1, luego solicitan las credenciales de WebEx del usuario.

fig1 webex

Figura 1 Página fraudulenta para conseguir credenciales WebEx

 

Los correos electrónicos de esta campaña también llegan con una línea de asunto de "Cuenta de Zoom" y pretenden ser de una cuenta de administrador. En el ejemplo de la figura 2, el mensaje afirma que procede de "Roundcube Admin".

Fig2 Zoom falso

Figura 2. Activación de cuenta Zoom falsa

Otros señuelos de correo electrónico afirman ser de "admin@servewebteam[.] gq". El cuerpo del mensaje incluye un señuelo que da la bienvenida a los usuarios a su nueva cuenta de Zoom y contiene un enlace, si da click en el enlace “Activate Account” le direcciona a la siguiente pantalla:

 

Fig3 Credenciales zoom

Figura 3. Pantalla fraudelenta para capturar credenciales Zoom

 

Una campana de distribución de malware busca distribuir troyanos con mensajes que agradecen al destinatario su respuesta a una solicitud de cotización falsa, el cual incluye un adjunto que ofrece una llamada por medio de Zoom.

Esta campana tiene los siguientes Asuntos:

  • “[Company] Meeting cancelled - Could we do a Zoom call”
  • “[Company] - I won't make it to Arizona - Could we talk over Zoom?”
  • “The [Company] - I won't make it to Tennessee - Can we talk over Zoom?”
  • “The [Company] Meeting cancelled - Should we talk over Zoom?” where the subject line includes the correct name of the recipient’s company.

Si el destinatario abre el adjunto visualiza la siguiente ventana:

 

Fig4 Arch malicioso

Figura 4: Archivo malicioso que habilita malware

 

Si el destinatario accede a la información del archivo compromete el sistema, el malware permite al atacnte acceder a información sensible como nombres de usuario, contraseñas, información de tarjetas de crédito entre otras.

 

Solución

A medida que la videoconferencia se ha vuelto importante para el teletrabajo, no es de extrañar que los atacantes se muevan para adaptar sus señuelos, que involucran el nombre de las empresas de videoconferencia como Zoom y WebEx. Los nombres de estas marcas seguirán siendo utilizadas como señuelos para ataques de ingeniería social en el futuro previsible, por lo tanto se insta a la comunidad politécnica a no entregar credenciales de acceso, ni registrar click en enlaces sospechosos, tome las precauciones del caso, y reporte inmediatamente a gestióEsta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

 

Referencia:https://www.proofpoint.com/us/threat-insight/post/remote-video-conferencing-themes-credential-theft-and-malware-threats