Un equipo de investigadores descubrió una vulnerabilidad por parte de unos ciberdelincuentes que están detrás de una campaña de phishing de tipo adversario en el medio (AiTM) a gran escala dirigida a los usuarios empresariales de los servicios de correo electrónico de Microsoft también han puesto sus miras en los usuarios de Google Workspace. "Esta campaña se dirigió específicamente a los directores ejecutivos y otros miembros de alto nivel de varias organizaciones que utilizan Google Workspace", detallan los investigadores de Zscaler Sudeep Singh y Jagadeeswar Ramanukolanu en un informe publicado este mes.
Se estima que en julio de este año iniciaron los ataques de phishing a AiTM, siguiendo un modus operandi similar al de una campaña de ingeniería social diseñada para desviar las credenciales de Microsoft de los usuarios e incluso eludir la autenticación multifactor.
La campaña de phishing AiTM de Gmail, de bajo volumen, también implica el uso de los correos electrónicos comprometidos de los directores ejecutivos para llevar a cabo más ingeniería social y los ataques también utilizan varios dominios comprometidos como un redirector de URL intermedio para llevar a las víctimas a la página de destino final.
Las cadenas de ataques implican el envío de correos electrónicos de caducidad de contraseñas a objetivos potenciales que contienen un enlace malicioso incrustado para supuestamente "ampliar su acceso", lo que lleva al destinatario a páginas de redirección abierta de Google Ads y Snapchat para cargar la URL de la página de phishing.
Además del abuso de las redirecciones abiertas, una segunda variante de los ataques se basa en sitios infectados que alojan una versión codificada en Base64 del redirector intermedio y la dirección de correo electrónico de la víctima en la URL. Este redirector intermedio es un código JavaScript que apunta a una página de phishing de Gmail.
En un caso destacado por Zscaler, la página de redirección utilizada en el ataque de phishing de Microsoft AiTM del 11 de julio de 2022, se actualizó para llevar al usuario a una página de phishing de Gmail AiTM el 16 de julio de 2022, conectando las dos campañas con el mismo actor de la amenaza.
"También hubo un solapamiento de la infraestructura e incluso identificamos varios casos en los que el actor de la amenaza cambió del phishing de Microsoft AiTM al phishing de Gmail utilizando la misma infraestructura", dijeron los investigadores.
Los resultados son una indicación de que las garantías de autenticación multifactor por sí solas no pueden ofrecer protección contra los ataques avanzados de phishing, por lo que es necesario que los usuarios examinen las URL antes de introducir las credenciales y se abstengan de abrir los archivos adjuntos o de hacer clic en los enlaces de los mensajes de correo electrónico enviados desde fuentes no fiables o desconocidas.