Cada vez más, los piratas informáticos están utilizando servicios legítimos con fines ilegítimos. ¿Por qué está aumentando su popularidad? Es fácil. Simplemente regístrese en cualquier herramienta SaaS popular. Es gratis. Y los piratas informáticos pueden enviarlo con la legitimidad y reputación de estas marcas, lo que hace que sea casi imposible descifrarlo para los servicios de seguridad y los usuarios finales. Seguimos viendo nuevos servicios utilizados. Esto no es un problema con los servicios en sí. Más bien, así es como los usan los piratas informáticos.

Hemos visto miles de este tipo de ataques solo en el último mes. Ahora estamos viendo otra herramienta legítima utilizada para estos fines. En este caso, es Adobe InDesign. En este informe de ataque, los investigadores de Check Point Harmony Email analizaron cómo los piratas informáticos utilizan Adobe InDesign, una herramienta popular para diseñar contenidos como folletos para enviar material de phishing.

Ataque
En este ataque, los piratas informáticos crean contenido en Adobe InDesign para enviar enlaces de phishing.
• Vector: correo electrónico
• Tipo: BEC 3.0
• Técnicas: Ingeniería Social, Recolección de Credenciales
• Objetivo: cualquier usuario final

Ejemplo de correo electrónico
Este correo electrónico comienza como lo que parece una factura. El asunto tiene tanto un número de factura como un número de orden de compra.

Observe, sin embargo, el vínculo. Indd.adobe.com conduce a la versión basada en la nube de Adobe InDesign. En esa plataforma, cualquiera puede crear todo tipo de documentos, desde facturas estándar hasta documentos más complejos. En lugar de una factura o una orden de compra, conduce a un documento malicioso.
Pero como el enlace en sí es legítimo, los escáneres de enlaces no pensarán nada al respecto. Y aunque pueda resultar extraño recibir un extracto o una factura a través de InDesign, Adobe es una marca legítima. Pasar el cursor sobre el enlace no revelará nada fuera de lo común.

Otro ejemplo
Una vez más, observe que proviene directamente de Adobe (message@adobe.com). Es un archivo PDF compartido que enlaza con una página de Adobe.

Estos ataques hacen que sea muy difícil que entre en juego la típica higiene cibernética. Pasar el cursor sobre la URL no será tan efectivo. El remitente es legítimo. Eso hace que sea muy difícil detectarlo incluso para el usuario más capacitado.

Técnicas
BEC 3.0 se trata de velocidad de ejecución. En lugar de pasar semanas o meses elaborando el ataque perfecto en el momento perfecto, los ataques BEC 3.0 se basan en herramientas fáciles de usar que pueden crear documentos legítimos que tienen enlaces o mensajes de phishing incrustados.
Este ataque aprovecha eso al utilizar una herramienta popular y fácil de usar como Adobe InDesign. InDesign es una herramienta increíblemente popular para diseñar cosas como volantes, periódicos, folletos y mucho más.

El uso de estos documentos para crear páginas de phishing que se envían al usuario final facilita el trabajo de los piratas informáticos. El enlace es legítimo, por lo que pasará por escáneres estándar y por el usuario final.
En este caso, hay que emular lo que hay detrás del enlace para entender realmente lo que está pasando. Ese no es siempre el caso de los servicios de seguridad.

Detener los ataques es un poco como jugar al gato y al ratón. Un hacker encuentra algo que funciona. Continuarán así hasta que los servicios de seguridad en todos los ámbitos puedan detenerlo de manera confiable. Luego se adaptarán y probarán algo nuevo. Etcétera. En este momento, BEC 3.0 ha resultado difícil de detener para la mayoría de los servicios de seguridad. Y hasta que eso suceda, los piratas informáticos seguirán haciéndolo.

Los investigadores de Check Point se comunicaron con Adobe para informarles sobre esta campaña el 25 de julio.

Mejores prácticas: orientación y recomendaciones
Para protegerse contra estos ataques, los profesionales de la seguridad pueden hacer lo siguiente:

• Implementar seguridad que utilice IA para observar múltiples indicadores de phishing.
• Implementar seguridad completa que también puede escanear documentos y archivos
• Implementar una sólida protección de URL que escanee y emule páginas web