El grupo tiene como objetivo agencias militares, embajadas, contratistas de defensa y otras organizaciones.
Un grupo de ciberespionaje ha estado realizando avanzados ataques phishing para robar credenciales de correo de empleados de agencias militares, embajadas, contratistas de defensa y de medios afines que utilizan la plataforma web Office 365. El grupo detrás de la campaña de ataques ha estado operando al menos desde 2007 según las investigaciones de Trend micro, quienes publicaron la investigación sobre los ataques a los que han denominado Operación Pawn Storm.
Los atacantes han utilizado una variedad de técnicas al paso de los años para comprometer las cuentas de sus objetivos, incluyendo correos phishing los cuales incluyen como adjuntos archivos maliciosos de Office, instalando una puerta trasera llamada SEDNIT o Sofacy, (Exploits selectivos inyectados en sitios web legítimos).
El grupo usa una técnica en particular de correos phishing en contra de organizaciones que utilizan la plataforma web de Outlook (Outlook Web App), la cual forma parte de los servicios de Microsoft 365. Por cada ataque phishing, el grupo crea dos dominios falsos: uno similar a un sitio de un tercero, conocido por las víctimas, y otro similar al usado por la organización para el servicio de correo OWA.
Los atacantes crean correos phishing con un enlace al sitio falso de terceros en donde ellos tienen archivos JavaScript con dos objetivos:
Cuando la víctima abre el correo y da clic sobre el enlace malicioso, en otra pestaña del navegador aparecerá el sitio original del tercero. En la pestaña actual parecerá que finalizo la sesión de OWA y la víctima será reenviada a sitios falsos de inicio de sesión OWA, esto se logra al cambiar en las propiedades del navegador la opción "abrir ventanas".
Esta técnica no explota alguna vulnerabilidad y funciona en la mayoría de los navegadores, incluyendo Internet Explorer, Mozilla Firefox, Google Chrome y Safari de Apple, según los investigadores.
Para funcionar se requieren dos condiciones: la víctima tiene que utilizar OWA y tiene que hacer clic al enlace malicioso desde el panel de visualización de OWA. Este puede ser un ataque sumamente poderoso porque las víctimas saben que tienen una sesión OWA activa en la pestaña y ya no verifican si la url ha cambiado antes de volver a introducir sus credenciales.
No hay comentarios:
Publicar un comentario