El mundo hiperconectado ha facilitado más que nunca que empresas y consumidores intercambien documentos, aprueben transacciones y completen flujos de trabajo financieros críticos con un solo clic. Las plataformas de intercambio de archivos digitales y firma electrónica, ampliamente utilizadas en banca, bienes raíces, seguros y operaciones comerciales cotidianas, se han vuelto esenciales para la rápida evolución de las organizaciones modernas. Sin embargo, esa misma comodidad crea una brecha para los ciberdelincuentes.

Investigadores de seguridad de correo electrónico de Check Point descubrieron recientemente una campaña de phishing en la que los atacantes se hacen pasar por servicios de intercambio de archivos y firma electrónica para enviar señuelos con temática financiera que simulan notificaciones legítimas.

En este incidente, los atacantes enviaron más de 40.000 correos electrónicos de phishing dirigidos a aproximadamente 6.100 empresas durante las últimas dos semanas. Todos los enlaces maliciosos se canalizaron a través de https://url.za.m.mimecastprotect.com , lo que aumentó la confianza al imitar flujos de redireccionamiento habituales.

Cómo funciona la campaña
Los atacantes abusaron de la función de reescritura de enlaces seguros de Mimecast, utilizándola como cortina de humo para que sus enlaces parecieran seguros y autenticados. Dado que Mimecast Protect es un dominio de confianza, esta técnica ayuda a las URL maliciosas a evadir los filtros automáticos y despertar la sospecha del usuario.

Para aumentar la credibilidad, los correos electrónicos copiaban elementos visuales oficiales del servicio (logotipos de Microsoft y productos de Office), utilizaban encabezados, pies de página y botones de "revisar documento" similares a los de los servicios, y falsificaban nombres para mostrar como "X vía SharePoint (Online)", "eSignDoc vía Y" y "SharePoint", que coincidían estrechamente con los patrones de notificación auténticos.

Variante relacionada: Phishing al estilo DocuSign con un método de redireccionamiento diferente.
Además de la gran campaña de SharePoint/firma electrónica, los investigadores también identificaron una operación más pequeña, pero relacionada, que imita las notificaciones de DocuSign. Al igual que el ataque principal, se hace pasar por una plataforma SaaS confiable y aprovecha una infraestructura de redireccionamiento legítima, pero la técnica utilizada para enmascarar el destino malicioso difiere significativamente. En la campaña principal, la redirección secundaria actúa como una redirección abierta, dejando la URL de phishing final visible en la cadena de consulta a pesar de estar envuelta en servicios de confianza. En la variante con temática de DocuSign, el enlace se mueve a través de una URL de GravityZone de Bitdefender y luego a través del servicio de seguimiento de clics de Intercom, con la página de destino real completamente oculta tras una redirección tokenizada. Este enfoque oculta por completo la URL final, lo que hace que la variante de DocuSign sea aún más sigilosa y difícil de detectar.

Escala y patrones de la campaña
La campaña se dirigió principalmente a organizaciones de EE. UU., Europa, Canadá, Asia-Pacífico y Oriente Medio, centrándose principalmente en los sectores de consultoría, tecnología y construcción/inmobiliario. También se vieron afectadas organizaciones de sectores como la salud, las finanzas, la manufactura, los medios de comunicación y el marketing, el transporte y la logística, la energía, la educación, el comercio minorista, la hostelería y los viajes, y la administración pública. Estos sectores son objetivos atractivos porque intercambian contratos, facturas y otros documentos transaccionales de forma rutinaria, lo que hace que el intercambio de archivos y la suplantación de firmas electrónicas sean muy convincentes y tengan más probabilidades de éxito.

Los datos de telemetría de correo electrónico Harmony de Check Point muestran que, en las últimas dos semanas, se enviaron más de 40 000 correos electrónicos de phishing dirigidos a aproximadamente 6100 empresas. La campaña se dirigió principalmente a organizaciones de EE. UU., Europa, Canadá, Asia-Pacífico y Oriente Medio. El desglose por región es el siguiente:
• EE. UU.: 34 057
• Europa: 4525
• Canadá: 767
• Asia: 346
• Australia: 267
• Oriente Medio: 256

Nota: La distribución regional refleja dónde se alojan los datos empresariales dentro de nuestra infraestructura y no representa necesariamente las ubicaciones físicas de las empresas.

Por sector, la mayoría de las empresas afectadas operan en Consultoría, Tecnología y Construcción/Inmobiliario, con representación adicional en Salud, Finanzas, Manufactura, Medios de Comunicación/Marketing, Transporte/Logística, Energía, Educación, Comercio Minorista, Hostelería/Viajes y Gobierno. Es probable que estos sectores sean el objetivo debido a que intercambian frecuentemente contratos, facturas y otros documentos financieros, lo que hace que el intercambio de archivos y las firmas electrónicas sean señuelos especialmente convincentes.
Por qué es importante

“Hemos escrito sobre campañas de phishing similares en años anteriores, pero lo que hace que este ataque sea único es que demuestra la facilidad con la que los atacantes pueden imitar servicios confiables de intercambio de archivos para engañar a los usuarios y destaca la necesidad de una vigilancia continua, especialmente cuando los correos electrónicos incluyen enlaces en los que se puede hacer clic, datos sospechosos del remitente o contenido inusual en el cuerpo del correo electrónico”, dijo Ängel Salazar, Gerente de Ingeniería de Canales para Latinoamérica de Check Point Software.

Qué deben hacer las organizaciones
Las organizaciones y las personas también deben tomar medidas proactivas para reducir el riesgo. Algunas maneras de mantenerse protegido incluyen:
1. Siempre tener cuidado con los enlaces incrustados en los correos electrónicos, especialmente cuando parezcan inesperados o urgentes
2. Prestar mucha atención a los detalles del correo electrónico, como discrepancias entre el nombre para mostrar y la dirección real del remitente, inconsistencias en el formato, tamaños de fuente inusuales, logotipos o imágenes de baja calidad y cualquier elemento que parezca fuera de lugar.
3. Pasar el cursor sobre los enlaces antes de hacer clic para inspeccionar el destino real y asegurarse de que coincida con el servicio que supuestamente envió el mensaje.
4. Abrir el servicio usted mismo en el navegador y buscar el documento directamente, en lugar de usar los enlaces proporcionados en los correos electrónicos.
5. Capacitar regularmente a los empleados y equipos sobre las nuevas técnicas de phishing para que comprendan cómo se ven los patrones sospechosos.
6. Utilizar soluciones de seguridad como detección de amenazas de correo electrónico, motores antiphishing, filtrado de URL y herramientas de informes de usuarios para reforzar la protección general.

Declaración de Mimecast:
La campaña de ataques descrita por Check Point explotó servicios legítimos de redireccionamiento de URL para ofuscar enlaces maliciosos, no una vulnerabilidad de Mimecast. Los atacantes abusaron de la infraestructura de confianza, incluido el servicio de reescritura de URL de Mimecast, para ocultar el verdadero destino de las URL de phishing. Esta es una táctica común en la que los delincuentes aprovechan cualquier dominio reconocido para evadir la detección.

Los clientes de Mimecast no son susceptibles a este tipo de ataque. Los motores de detección de Mimecast identifican y bloquean estos ataques. Nuestras funciones de escaneo de URL detectan y bloquean automáticamente las URL maliciosas antes de su entrega. Tras la entrega, nuestro servicio de reescritura de URL inspecciona los enlaces al hacer clic, lo que proporciona una capa adicional que detecta las amenazas incluso cuando se ocultan tras cadenas de redireccionamiento legítimas.