Cuidado con Squarespace y Dropbox: así es cómo los ciberataques BEC 3.0 burlan la detección de los antivirus

©BigStock. Squarespace. Dropbox

Actualizado 19 | 05 | 2023 10:35

Ciberataques BEC 3.0

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), han analizado la próxima ola de ataques de tipo BEC (Business Email Compromise), basado en el uso de servicios legítimos para desencadenar ataques de suplantación de identidad y robo de datos.

Este tipo de ciberataques se ha popularizado recientemente puesto que son difíciles de identificar. Y es que no hace uso de correos electrónicos falsos, sino que usa correos electrónicos legítimos, enviados desde portales web legítimos, que enlazan o incluyen enlaces e instrucciones maliciosas.

Esto significa que los ciberdelincuentes toman los servicios que los usuarios usan todos los días y los convierten en armas contra los usuarios. De esta manera, se logra contar con la confianza de los servicios de seguridad y los usuarios.

Concretamente, los investigadores de Check Point Harmony Email centran su análisis en cómo se están usando cuentas gratuitas para crear páginas alojadas Squarespace y Dropbox, aprovechando la legitimidad de su dominio, incrustando phishing con el objetivo final de difundir el malware VirusTotal.

Ejemplo de correo legítimo con adjunto malicioso

Tal y como muestra la imagen, este correo electrónico comienza inocentemente. Es un PDF que en realidad es un enlace a una URL. Al hacer clic en el PDF, se le redirige a una página alojada en estos servicios. No hay nada inherentemente malo con este email. Es interesante que se envíe a destinatarios no revelados, ya que puede ser un truco para que los piratas informáticos envíen ese mensaje a varias personas. Sin embargo, al leerlo, los usuarios no tendrían ninguna razón para pensar que algo está mal.

Ejemplo de dominio malicioso de destino

A través de este enlace, se redirige a los usuarios a este sitio web, alojado dentro del servicio de Squarespace, con el formato habitual de los dominios libres: username.squarespace.com. De esta manera, dado que Squarespace y Dropbox son sitios legítimos, estos dominios pasan las comprobaciones.Esto se debe a que la URL en sí es legítima, quedando todo el contenido malicioso en el sitio web.

En este caso concreto, los ciberatacanteshan utilizado una página de destino que suplantael servicio de Microsoft OneDrive. Sin embargo, al hacer clic en el enlace, los usuarios inician la descarga de un adjunto malicioso.

Comprobación de VirusTotal burlada

Los ataques BEC están en todas partes. La mayoría de las personas ven a un socio o empleado comprometido insertándose en un hilo de correo electrónico y cambiando los detalles de la ruta bancaria.

Estas amenazas son difíciles de detener para los servicios de seguridad y los usuarios para detectar. Sin embargo, el usode tecnologías como el Procesamiento del Lenguaje Natural (NLP), la Inteligencia Artificial y el Machine Learning hacen posible su detención.

Todo en el correo electrónico es legítimo,proviene de un dominio legítimo, su URL es legítima, y el texto no hace sonar las alarmas. En resumen, el email en sí está limpio y es inofensivo.Pero las acciones realizadastras su recepción son maliciosas.Esto supone que los responsables de seguridad tienen que mirar más allá del contenido e incluso el contexto, tal y como se hace para enfrentar los ciberataques BEC 2.0, pasando a tener que emular la página web y emular las acciones del usuario.

Aquí es donde la seguridad del navegador se vuelve más importante,siendo fundamentalverificar las páginas webdirectamente dentro del navegador, analizar las imágenes, el texto, el dominio y más en busca de indicadores de phishing, tanto conocidos como desconocidos. Más allá de eso, emular cada archivo descargado en una sandbox para malware es crítico, especialmente porque muchos de estos enlaces conducen directamente a las descargas.

Se espera un fuerte auge en los ataques BEC 3.0, y va a ser más necesario que nunca contar con una infraestructura de ciberseguridad completa” explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Los profesionales de seguridad deben contar con conocimientos para identificar este nuevo tipo de variantes, así como herramientas de seguridad apropiadas con las que poder emular el posible comportamiento malicioso más allá del propio correo electrónico”.

Más información

Etiquetas PhishingVirus

Cargando noticia...