Microsoft avisa sobre una operación masiva de phishing

Las cifras hablan por sí solas: a un mayor uso e incremento de la tecnología, un mayor número también de casos de phishing. De hecho, en 2021 los ataques de phishing aumentaron en todo el mundo un 29%, alcanzaron una cifra récord de 873,9 millones, según un informe de la plataforma cloud de Zscaler.

En este sentido, Microsoft ha desvelado la que es hoy en día una de las operaciones de phishing más ambiciosas que han tenido lugar en los últimos años. Un ataque que ha estado activo desde septiembre de 2021 hasta ahora, casi un año. Se trata de la campaña Adversary in the Middle y ojo, porque ha intentado atacar a 10.000 empresas, según investigaciones del gigante tecnológico.

¿Y cómo se ha llevado a cabo? Un ataque AitM -las siglas de Adversary in the Middle- implica configurar un servidor proxy ubicado entre las víctimas y los sitios web que éstas desean visitar. Lo que hacen estos servidores proxy es interceptar paquetes de protocolo de transferencia de hipertexto (HTTP) de los usuarios, con lo que los ciberdelincuentes no necesitan crear las típicas webs falsas que se hacen pasar por sitios verídicos, como ocurre en las campañas de phishing tradicionales.

Esta captura de paquetes HTTP permite a los atacantes robar las contraseñas, y también la cookie de sesión generada, cuando los usuarios se autentican en los sitios web. Con la cookie de sesión, los atacantes pueden infectar el navegador y omitir a su vez el proceso de autenticación. Un ataque que, además, funciona también si la autenticación multifactor se encuentra habilitada.

¿Cómo se han podido dar cuenta las empresas del ataque? Recibieron mensajes informándoles que disponían de correos de voz listos para ser escuchados. Estos emails tenían un archivo adjunto HTML disfrazado de un falso archivo de audio MP3. Además, los ciberdelincuentes intentaban evitar las herramientas antiphishing para pasar desapercibidas, y que éstas no identificarán así las URL maliciosas.

Una vez que los atacantes capturaban las contraseñas y las cookies de sesión, el trabajo estaba ya hecho: cometían el fraude de pago de turno, en el que engañaban a las víctimas para que transfirieran fondos a cuentas controladas por ellos.

Microsoft ha ido informando a las empresas de este ataque, pero lanza un aviso. Los ataques AiTM son cada más frecuentes. Por eso, para protegerse, las empresas deben implementar medidas de seguridad de más alto nivel, y estar atentas a no descargar archivos con audios falsos en MP3.

Cabe recordar que uno de los ataques más virulentos utilizando esta falsa descarga se dio en 2007. Denunciado por la empresa BitDefender, incluía grabaciones codificadas en mp3 que contenían una voz sintetizada para promocionar inversiones. Los MP3 adjuntos eran nombrados tipo «gloria estefan» o «say your name”, presumiblemente para motivar su apertura por parte de los usuarios. Una vez se accedía al MP3, el daño y el fraude ya estaba hecho.