Guía gratuita
16 preguntas que DEBE hacer antes de contratar cualquier empresa de TI
Hacker utiliza invitaciones de Zoom para robar credenciales a través de Sendgrid
Hay una mezcla de buenas y malas noticias en la guerra en curso contra los hackers del mundo.
Entre las malas noticias tenemos, que los profesionales de la seguridad han detectado recientemente una sofisticada campaña de phishing que hace uso de SendGrid y réplicas convincentes de Outlook en la Web y los inicios de sesión de Office 365 para recolectar credenciales.
El ataque funciona así: SendGrid es un proveedor SMTP confiable, por lo que al enviar sus correos electrónicos a través de este canal, es más probable que esos mensajes lleguen a sus objetivos previstos y no sean bloqueados por protocolos de seguridad de correo electrónico integrados.
Los correos electrónicos que envía el grupo suelen ser invitaciones de Zoom, aunque invariablemente, una vez que un usuario hace clic en el enlace, se ve obligado a pasar por algunos obstáculos y terminar en una página de inicio de sesión convincente para Outlook en la Web u Office 365. Estas páginas son falsas, por supuesto, y cualquier usuario que intente iniciar sesión simplemente está entregando sus credenciales de inicio de sesión a los hackers, que han recopilado aproximadamente 400.000 nombres de usuario y contraseñas utilizando esta técnica.
A partir de ahí, el cielo es el límite. Armados con combinaciones funcionales de nombre de usuario y contraseña, los hackers detrás de la campaña de phishing pueden iniciar sesión en la cuenta de un usuario y usarla como trampolín para inyectar código malicioso en el sistema de un objetivo con prácticamente cualquier carga útil que los hackers deseen.
El grupo detrás de todo esto ha sido apodado “Compact”, y está claro por el diseño del ataque que son un grupo técnicamente sofisticado. Dicho esto, también hay buenas noticias que informar. A pesar de los conocimientos tecnológicos de los atacantes, cometieron un error y configuraron mal un guión de exfiltración. Ha permitido a los investigadores de seguridad descargar múltiples copias del código de exfiltración, revelando una gran cantidad de detalles sobre el funcionamiento interno del grupo.
Es probable que proporcione una victoria a corto plazo para los profesionales de la seguridad de todo el mundo, ya que probablemente podrán cerrar grandes franjas de las operaciones de Compact. Sin embargo, el grupo sin duda aprenderá de su error y después de alejarse por un tiempo para lamer sus heridas, sin duda volverán y serán más peligrosos que nunca.