Los investigadores del servicio Harmony Email de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, han analizado la próxima ola de ataques de tipo BEC (Business Email Compromise), basado en el uso de servicios legítimos para desencadenar ataques de suplantación de identidad y robo de datos.
Este tipo de ciberataques se ha popularizado recientemente puesto que son difíciles de identificar. Y es que no hace uso de correos electrónicos falsos, sino que usa correos electrónicos legítimos, enviados desde portales web legítimos, que enlazan o incluyen enlaces e instrucciones maliciosas.
Esto significa que los ciberdelincuentes toman los servicios que los usuarios usan todos los días y los convierten en armas contra los usuarios. De esta manera, se logra contar con la confianza de los servicios de seguridad y los usuarios.
Concretamente, los investigadores de Check Point Harmony Email centran su análisis en cómo se están usando cuentas gratuitas para crear páginas alojadas Squarespace y Dropbox, aprovechando la legitimidad de su dominio, incrustando phishing con el objetivo final de difundir el malware VirusTotal.
Figura 1. Ejemplo de correo legítimo con adjunto malicioso
Tal y como muestra la imagen, este correo electrónico comienza inocentemente. Es un PDF que en realidad es un enlace a una URL. Al hacer clic en el PDF, se le redirige a una página alojada en estos servicios. No hay nada inherentemente malo con este email. Es interesante que se envíe a destinatarios no revelados, ya que puede ser un truco para que los piratas informáticos envíen ese mensaje a varias personas. Sin embargo, al leerlo, los usuarios no tendrían ninguna razón para pensar que algo está mal.
Figura 2. Ejemplo de dominio malicioso de destino
A través de este enlace, se redirige a los usuarios a este sitio web, alojado dentro del servicio de Squarespace, con el formato habitual de los dominios libres: username.squarespace.com. De esta manera, dado que Squarespace y Dropbox son sitios legítimos, estos dominios pasan las comprobaciones. Esto se debe a que la URL en sí es legítima, quedando todo el contenido malicioso en el sitio web.
En este caso concreto, los ciberatacantes han utilizado una página de destino que suplanta el servicio de Microsoft OneDrive. Sin embargo, al hacer clic en el enlace, los usuarios inician la descarga de un adjunto malicioso.
Figura 3. Comprobación de VirusTotal burlada
Los ataques BEC están en todas partes. La mayoría de las personas ven a un socio o empleado comprometido insertándose en un hilo de correo electrónico y cambiando los detalles de la ruta bancaria.
Estas amenazas son difíciles de detener para los servicios de seguridad y los usuarios para detectar. Sin embargo, el uso de tecnologías como el Procesamiento del Lenguaje Natural (NLP), la Inteligencia Artificial y el Machine Learning hacen posible su detención.
Todo en el correo electrónico es legítimo, proviene de un dominio legítimo, su URL es legítima, y el texto no hace sonar las alarmas. En resumen, el email en sí está limpio y es inofensivo. Pero las acciones realizadas tras su recepción son maliciosas. Esto supone que los responsables de seguridad tienen que mirar más allá del contenido e incluso el contexto, tal y como se hace para enfrentar los ciberataques BEC 2.0, pasando a tener que emular la página web y emular las acciones del usuario.
Aquí es donde la seguridad del navegador se vuelve más importante, siendo fundamental verificar las páginas web directamente dentro del navegador, analizar las imágenes, el texto, el dominio y más en busca de indicadores de phishing, tanto conocidos como desconocidos. Más allá de eso, emular cada archivo descargado en una sandbox para malware es crítico, especialmente porque muchos de estos enlaces conducen directamente a las descargas.
“Se espera un fuerte auge en los ataques BEC 3.0, y va a ser más necesario que nunca contar con una infraestructura de ciberseguridad completa” explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Los profesionales de seguridad deben contar con conocimientos para identificar este nuevo tipo de variantes, así como herramientas de seguridad apropiadas con las que poder emular el posible comportamiento malicioso más allá del propio correo electrónico”.
Comentarios
Publicar un comentario