Squirrelwaffle casi triunfa en el esquema de estafa de Microsoft Exchange Server

A pesar de su nombre divertido, Squirrelwaffle es un tipo de malware peligroso que se propaga a través de campañas de spam. Los atacantes secuestraron un hilo y respondieron a los mensajes con lo que parecían ser archivos adjuntos inocentes. En cambio, eran documentos que permitían que las macros dieran el control de un sistema a los atacantes.

Un hilo secuestrado podría ser bastante convincente. Por ejemplo, un mensaje puede pretender ser de alguien que se conectó a un hilo preexistente para compartir más información. En la campaña investigada por Sophos, los atacantes utilizaron un dominio con errores tipográficos que se asemejaba al dominio en el que comenzaba un hilo. Esta maniobra hizo girar el cable a otra zona menos segura.

En este ataque específico, los actores de amenazas copiaron varias direcciones de correo electrónico para parecer legítimos.

"Esto es muy comprensible, esperaré sus actualizaciones. El departamento de finanzas tiene CC en este correo electrónico y proporcionará detalles bancarios actualizados en breve", decía el primer mensaje de los atacantes.

Un correo electrónico posterior presionó a la víctima para que hiciera un pago.

Correo electrónico de amenaza Squirrelwaffle

Fuente: Sophos

El ataque casi tuvo éxito. Según Sophos, la organización anónima transfirió dinero a los atacantes, pero una institución financiera denunció y detuvo el pago.

Si bien la reparación de un servidor de Microsoft Exchange es importante, se necesita más para proteger una organización.

"Es un buen recordatorio de que los parches por sí solos no siempre son suficientes para la protección", dijo a ZDNet el investigador de Sophos, Matthew Everts. "En el caso de servidores de Exchange vulnerables, por ejemplo, también debe verificar que los atacantes no hayan dejado un shell web para mantener el acceso. Y cuando se trata de ataques de ingeniería social sofisticados como los que se usan para piratear hilos de correo electrónico, los empleados sobre qué tener cuidado y cómo informarlo es fundamental para la detección”.

El ataque investigado recientemente fue una evolución de los ataques anteriores de Squirrelwaffle. En este caso, los actores de la amenaza agregaron el elemento de typo-squatting a la campaña, lo que hizo que fuera más difícil defenderse.

Via: Yooub Buscador Web

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir