Buscar
  • atapia73

Los atacantes usan un truco de hace 20 años para phishing a los usuarios de Microsoft 365


Los piratas informáticos malintencionados han desempolvado la antigua técnica de anulación de derecha a izquierda (RLO) para disfrazar archivos maliciosos y recopilar credenciales. La empresa de seguridad de correo electrónico Vade ha observado un aumento en los ataques RLO.


El Centro de Respuesta e Inteligencia de Amenazas de Vade detectó más de 400 campañas de suplantación de RLO en las últimas dos semanas.


RLO es un carácter Unicode no imprimible [U+202e] que se utiliza principalmente para admitir los idiomas hebreo y árabe. Este carácter voltea y cambia todo el texto subsiguiente para que sea de derecha a izquierda cuando se muestra en lugar del orden de lectura de izquierda a derecha del inglés. Por ejemplo, un archivo llamado "HelloCyberNews" con el carácter Unicode agregado como "Hello{U+202e]CyberNews" se mostraría como "HellosweNrebyC".


Según Vade, este método se usó en la década de los noventa y principios de la década de 2010 para engañar a los usuarios para que ejecutaran archivos maliciosos, como aplicaciones .exe dañadas, y convencerlos de que estaban abriendo un archivo .txt. Los atacantes usaban este método para enviar malware a través de una organización.


Este método de ataque ha regresado y ahora se usa para phishing a los usuarios de Microsoft 365. El equipo de analistas de amenazas de Vade detectó software de phishing usando RLO y examinando las cuentas de Microsoft 365.


Los atacantes se han dirigido a los usuarios de Microsoft con notificaciones de correo de voz. Los archivos adjuntos parecen extensiones .mp3, con toda probabilidad, un archivo de audio que contiene el mensaje de voz. Sin embargo, era un enlace encubierto a una página web de inicio de sesión de Microsoft que solicita credenciales para acceder a "información confidencial".


"Para esta campaña, al enviar el formulario, la página no redirigía a otro sitio web, sino que mostraba que la contraseña era incorrecta. Sin embargo, el equipo de ciberanalistas de Vade confirma que, en algunos casos, este tipo de formulario puede redirigir a un mensaje de correo de voz que es legible y contiene un mensaje genérico. El objetivo es que los usuarios desconozcan el ataque que acaban de experimentar", dijo la compañía.


Los usuarios deberían detectar fácilmente esta estafa, especialmente cuando abren un archivo .mp3 que conduce a una página web de inicio de sesión de Microsoft.


Según las estadísticas, la suplantación de RLO aumentó desde mediados de 2020 y aún más en 2021.

"Lo más probable es que los atacantes se estén aprovechando de la pandemia de COVID-19, con la expansión del trabajo remoto: los usuarios finales están menos protegidos y preparados para las amenazas externas, y muchos están usando sus tecnologías de seguridad de punto final en casa en lugar de las de la empresa. Además , el contexto del correo de voz combinado con los archivos adjuntos de suplantación de RLO es más convincente con la falta de comunicación interpersonal debido al teletrabajo", concluyó Vade.


Fuente: https://cybernews.com/news/attackers-use-a-20-year-old-trick-for-phishing-microsoft-365-users/


18 visualizaciones0 comentarios