Ataque de phishing AiTM dirigido a usuarios corporativos de Gmail
Resumen
Este blog es una continuación de nuestra publicación reciente que describe los detalles de una campaña de phishing a gran escala dirigida a los usuarios corporativos de los servicios de correo electrónico de Microsoft.
A partir de mediados de julio de 2022, ThreatLabz comenzó a observar instancias de ataques de phishing Adversary-In-Medium (AiTM) dirigidos a usuarios corporativos de Gmail. Tras un análisis más profundo de la cadena de ataque, identificamos varias similitudes entre esta campaña y la anterior campaña de phishing de AiTM dirigida a los usuarios de los servicios de correo electrónico de Microsoft.
OG Suite es la versión empresarial de Gmail y es muy utilizada en las empresas. Esta campaña estaba dirigida específicamente a los directores ejecutivos y otros miembros sénior de varias organizaciones que utilizan G Suite.
Como ya hemos cubierto los detalles técnicos de las técnicas AiTM en nuestro blog anterior, no las volveremos a describir aquí. Sin embargo, es importante tener en cuenta que los kits de phishing de AiTM se pueden usar para apuntar a múltiples sitios web y evitar la autenticación de múltiples factores. Mediante el uso de phishlets diseñados para apuntar a un sitio web legítimo específico, los atacantes pueden reutilizar rápidamente la técnica de phishing AiTM contra un nuevo sitio web de destino.
En este blog, presentamos los indicadores de superposición entre las dos campañas (Microsoft y Gmail) y discutimos cómo llegamos a la conclusión de que ambas campañas de phishing fueron ejecutadas por el mismo actor de amenazas.
Estas campañas utilizaron tácticas, técnicas y procedimientos similares (TTP). También hubo una superposición de infraestructura e incluso identificamos varios casos en los que el actor de amenazas cambió del phishing de Microsoft AiTM al phishing de Gmail utilizando la misma infraestructura.
Curiosamente, la campaña de phishing de Gmail AiTM tuvo un volumen mucho menor de objetivos en comparación con el ataque de phishing de Microsoft AiTM.
puntos clave
A partir de julio de 2022, el mismo actor de amenazas que usó los kits de phishing AiTM para atacar a los usuarios comerciales de los servicios de correo electrónico de Microsoft comenzó a atacar a los usuarios comerciales de G Suite.
El ataque puede eludir la protección de autenticación multifactor (MFA) de Gmail.
Estos correos electrónicos de phishing se enviaron a los directores ejecutivos y otros miembros de alto nivel de las organizaciones objetivo en los EE. UU. En algunos casos, también se enviaron correos electrónicos a los asistentes ejecutivos de los directores ejecutivos y directores financieros.
Los correos electrónicos comprometidos de los directores ejecutivos se utilizaron para realizar más ataques de phishing por parte del actor de amenazas.
Se utilizaron varios dominios comprometidos como un redireccionador de URL intermedio para dirigir al usuario a la página de phishing final.
El actor de amenazas utilizó una secuencia de comandos de huellas dactilares del lado del cliente similar para la evasión, como se señaló en la campaña anterior.
Los mismos scripts de redirección utilizados en la campaña de phishing de Microsoft se han actualizado para dirigirse a los usuarios corporativos de G Suite.
cadena de ataque
La figura 1 a continuación muestra la cadena de ataques de alto nivel. El ataque comienza cuando el usuario recibe un correo electrónico que contiene un enlace malicioso. Este enlace aprovecha varios niveles de redirección y abusa de las páginas de redirección abiertas para dirigir al usuario al dominio final de phishing de Gmail controlado por el atacante. Sin embargo, antes de que la página de phishing real se presente al usuario, el servidor realiza una verificación de huellas dactilares en el cliente para garantizar que un usuario real esté navegando por el sitio y no un sistema de análisis automatizado.
Cada componente de la cadena de ataque se explica con más detalle en las secciones correspondientes más adelante.
Figura 1: Una cadena de ataque de alto nivel del proceso de phishing
mecanismo de distribución
El vector de ataque utilizado en esta campaña fueron correos electrónicos con el enlace malicioso incrustado en ellos. Estos correos electrónicos se enviaron específicamente a los directores ejecutivos y miembros de alto nivel de la organización objetivo.
Los correos electrónicos de phishing se hacían pasar por Google y pretendían ser correos electrónicos de recordatorio de vencimiento de contraseña, lo que incitaba al usuario a hacer clic en un enlace para «Extender su acceso».
La Figura 2 muestra un ejemplo de uno de estos correos electrónicos de phishing.
Figura 2: correo electrónico de phishing de G Suite
Redirección de URL
La redirección ocurre en varios pasos que describimos a continuación.
Nivel 1
Se observaron dos categorías de enlaces de redirección de la etapa 1 en la campaña de phishing de Gmail.
Variante No. 1 [Open Redirect abuse]
Esta variante abusaba de las páginas de redirección abierta de Google Ads y Snapchat, de forma similar a lo que describimos en nuestra encuesta sobre la campaña de phishing de Microsoft AiTM.
La figura 3 muestra dos instancias en las que se entregó la misma URL de phishing de Gmail mediante una redirección de Snapchat en un caso y una redirección de Google Ads en el otro.
Figura 3: Redirigir usando páginas abiertas de redirección
variante #2
Esta variante usó sitios web comprometidos que almacenaron una versión codificada de la redirección de la Etapa 2 y la dirección de correo electrónico de la víctima en la URL. La figura 4 muestra el formato de esta variante.
Figura 4: Segunda variante de la URL del Paso 1 utilizada para redirigir a los usuarios al Paso 2
Etapa 2 (redirector intermedio)
El redirector intermedio es JavaScript alojado en dominios comprometidos. La Figura 5 muestra un ejemplo del script de redirección. La variable «redirectURL» en el script especifica la página final de phishing.
Figura 5: Redirector de URL intermedio de etapa 2
Notamos que el actor de amenazas actualizó esta variable redirectURL regularmente para asegurarse de que apunte a la página de phishing más reciente. Esto permite que el actor de amenazas actualice rápidamente su campaña para mantenerse al día con las detecciones de URL agregadas por los proveedores de seguridad. Supervisamos regularmente estos scripts de redireccionamiento para identificar de manera proactiva nuevas páginas de phishing y agregar detección.
Hemos identificado dominios comprometidos que alojan secuencias de comandos de redirección de URL que se han actualizado para apuntar a las nuevas URL de phishing de G Suite.
La Figura 6 muestra una comparación lado a lado de este caso. En este ejemplo, «loftds[.]com» es el dominio controlado por el atacante que aloja la secuencia de comandos del redirector. Como se puede ver en el lado izquierdo, el 11 de julio de 2022, la secuencia de comandos del redirector apuntaba a una URL utilizada en el ataque de phishing Microsoft AiTM. En el lado derecho, podemos vea que el 16 de julio de 2022, la misma secuencia de comandos se actualizó para apuntar a una URL utilizada en el ataque de phishing G Suite AiTM.
Figura 6: Misma página de redirección utilizada en Microsoft AiTM y G Suite/Gmail AiTM phishing
Este fue un indicador fuerte que nos ayudó a correlacionar las dos campañas con el mismo actor de amenazas.
Evasión basada en huellas dactilares
La página principal de phishing utilizó huellas dactilares basadas en JavaScript del lado del cliente para detectar la presencia de sistemas automatizados de análisis de URL. La información de la huella digital recopilada del dispositivo se enviará al servidor mediante el websocket. Explicamos los detalles técnicos de este método de huella digital en nuestro blog anterior aquí.
Después de pasar todos los pasos de redirección de URL y las comprobaciones de huellas dactilares del cliente, el usuario llegará a la página final de phishing de Gmail, como se muestra en la Figura 7.
Figura 7: Página final de phishing de Gmail
La Figura 8 a continuación muestra que el kit de phishing AiTM puede transmitir e interceptar con éxito el proceso de autenticación de múltiples factores que utiliza Gmail/G Suite.
Figura 8: Proceso de autenticación multifactor (MFA) de Gmail interceptado por el kit de phishing de AiTM
Estado de detección de Zscaler
La plataforma de seguridad en la nube de múltiples niveles de Zscaler detecta indicadores en múltiples niveles, como se ve aquí:
HTML.Phish.Gmail
Conclusión
En este blog, describimos cómo el actor de amenazas está aprovechando los kits de phishing basados en proxy de AiTM para dirigirse a los usuarios de varios proveedores de correo electrónico empresarial. Es importante comprender que estos ataques no se limitan solo a los usuarios corporativos de Microsoft y Gmail. Un atacante podría eludir la protección de autenticación multifactor en muchos servicios diferentes utilizando este método.
Business Email Compromise (BEC) sigue siendo una de las principales amenazas contra las que las organizaciones deben protegerse. Como se describe en este blog, el actor de amenazas registra constantemente nuevos dominios y se dirige a los servicios en línea más utilizados en las empresas.
Si bien las características de seguridad como la autenticación multifactor (MFA) agregan una capa adicional de seguridad, no deben considerarse una solución mágica para protegerse contra los ataques de phishing. Utilizando kits de phishing avanzados (AiTM) y técnicas de evasión inteligente, los actores de amenazas pueden eludir las soluciones de seguridad tradicionales y avanzadas.
Como precaución adicional, los usuarios no deben abrir archivos adjuntos ni hacer clic en enlaces de correos electrónicos enviados desde fuentes no confiables o desconocidas. Como práctica recomendada, en general, los usuarios deben verificar la URL en la barra de direcciones del navegador antes de ingresar cualquier credencial.
El equipo de Zscaler ThreatLabz continuará monitoreando esta campaña activa, así como otras, para ayudar a mantener seguros a nuestros clientes.
Indicadores de Compromiso
Dominios de phishing
*.Angoleños[.]X Y Z
*.mdks[.]X Y Z
*.7británicos[.]X Y Z
*.fekir5[.]X Y Z
*.bantersplid[.]X Y Z
*.absmg[.]X Y Z
*.wultimacho[.]X Y Z
*.estación de trabajo de gsuite[.]con
*.thyxyzjgdrwafzy[.]X Y Z
*.7dmjmg20p8[.]X Y Z
*.carpetas de aplicaciones[.]X Y Z
*.4765445b-32c6-4-83e6-1d93765276[.]con
*.aucapitalsci[.]con
*.eaganins.click
*.disturbedmidiagroup.click
Redireccionadores de URL intermedios
Nota: estos son sitios comprometidos
*.Southernlivingsavannah[.]con
*.sunnyislesdental[.]con
*.horticulturatanaka[.]com
ondulación-hirodai[.]con
informe patológico[.]en
pagliaispizzakv[.]con
*.loftds[.]con
*.sabtsaen[.]Vamos
*.jarrydrenton[.]con
*.alphamediaam[.]Vamos
*.hcapinfo[.]con
*.gamea[.]Vamos
*** Este es un blog sindicado por Security Bloggers Network de feed de categorías de blog escrito por Sudeep Singh. Lea la publicación original en: https://www.zscaler.com/blogs/security-research/aitm-phishing-attack-targeting-enterprise-users-gmail