Microsoft Defender: Los nuevos ataques de phishing contra empresas son cada vez más audaces

Los expertos de Microsoft Defender han presentado un nuevo informe de amenazas donde alertan de nuevas estrategias en los ataques de phishing contra computadoras empresariales. Los ciberdelincuentes no descansan, van siempre por delante de los sistemas de defensa y de nuevo sorprenden por su «audacia» y «originalidad».

Los ataques de phishing siguen creciendo y junto al ransomware son la gran amenaza en ciberseguridad. En los últimos tres años se ha producido un aumento del 119% de estas amenazas, que además de número, destacan por la variación de las campañas maliciosas. La estrategia aquí no implica violar un sistema de seguridad altamente sofisticado, ni inventar una nueva vulnerabilidad de día cero, ni nada que se te ocurra al oír la palabra «hacking». Los atacantes simplemente idearon un sistema, ciertamente ingenioso, para infiltrarse en ordenadores empresariales mediante software legítimo.

Ataques de phishing novedosos

Todo comienza con el envío de correos electrónicos que contienen invitaciones a reuniones falsas, documentos PDF y otros enlaces maliciosos. Cuando un usuario objetivo hace clic en un enlace para actualizar una aplicación conocida como Microsoft Teams, Zoom, Google Meet o Adobe Reader, en realidad está descargando malware en su ordenador.

Pero aquí está el asunto: Microsoft descubrió que los archivos maliciosos estaban firmados digitalmente utilizando un certificado de Validación Extendida (EV) abusivo emitido a una empresa llamada TrustConnect Software PTY LTD.

Ahora bien, los certificados EV no son fáciles de obtener, ya que requieren una estricta verificación de identidad por parte de la Autoridad Certificadora. Como señaló el Investigador Distinguido de ESET, Aryeh Goretsky, en los comentarios, un certificado EV no impide automáticamente que el software antivirus analice un archivo, pero sí le otorga una mayor puntuación de reputación. El informe de Proofpoint añade que «cuando los utilizan los actores de amenazas, pueden ayudar a los delincuentes a evadir las detecciones basadas en firmas».

Cuando un usuario lo descarga, el malware sienta las bases para toda la operación. Primero se copia en el directorio Archivos de Programa para simular una aplicación legítima, se registra como un servicio de Windows y crea una clave de ejecución en el registro del sistema para iniciarse cada vez que se enciende el ordenador. Una vez que se apodera de una computadora infectada, el malware utiliza comandos codificados de PowerShell para instalar silenciosamente herramientas legítimas de monitoreo y administración remota (RMM) como ScreenConnect, Tactical RMM y Mesh Agent.

Dado que los departamentos de TI corporativos utilizan estas mismas herramientas a diario para administrar los ordenadores de la empresa, el tráfico de red malicioso se integra fácilmente. Los atacantes consiguen una puerta trasera persistente en la red corporativa, que incluye el control de escritorio remoto y la ejecución de comandos a nivel de sistema, sin dar señales de alerta. Según el informe de Microsoft, los atacantes incluso instalan varias herramientas RMM, por si acaso un equipo de seguridad detecta y elimina alguna.

Una vez establecido el control total de la red, los atacantes pueden hacer prácticamente lo que quieran con los ordenadores afectados. Pueden filtrar servidores internos para robar propiedad intelectual, bases de datos de clientes o registros financieros. O pueden moverse lateralmente desde un único portátil infectado directamente al controlador de dominio principal. Las posibilidades son infinitas.

Esta es una amenaza constante, y Microsoft recomienda a empresas y empleados que extremen las precauciones con cualquier descarga de archivos cuya seguridad no sea absoluta. Puede consultar el informe completo en el blog de seguridad de Microsoft.