Group-IB devela PerSwaysion, una campaña de phishing sofisticada

Group IB devela una campaña de phishing sofisticada que se sustenta en Microsoft Sway de Microsoft 365
Group IB devela una campaña de phishing sofisticada que se sustenta en Microsoft Sway de Microsoft 365

Group-IB, ha identificado una serie de sofisticados ataques de phishing exitosos contra la administración y los ejecutivos de más de 150 empresas en todo el mundo.

La campaña descubierta por Group-IB, denominada PerSwaysion debido al abuso generalizado de Microsoft Sway, ha estado activa desde al menos mediados de 2019 y se atribuyó a desarrolladores de habla vietnamita y operadores nigerianos.

Los cibercriminales detrás de la campaña PerSwaysion obtuvieron acceso a muchos correos electrónicos corporativos confidenciales de Microsoft 365 de compañías de servicios financieros, firmas de abogados y grupos inmobiliarios.

PerSwaysion

La campaña prolifera con tasas alarmantes al aprovechar los datos de correo electrónico de las cuentas comprometidas para seleccionar objetivos adicionales que tienen roles importantes en sus empresas y comparten relaciones comerciales con las víctimas.

Group-IB continúa trabajando con las partes relevantes en los países locales para informar a las empresas afectadas de la violación.

No apostaron a la fuerza bruta, solo PerSwaysion

PerSwaysion es una campaña de phishing altamente dirigida descubierta recientemente por Group-IB.

Una de las firmas definitorias de PerSwaysion es que se propaga como un incendio forestal saltando de una víctima a otra mientras no hay malware presente en un dispositivo de usuario durante el ataque.

La nueva ronda de intentos de phishing que aprovechan la cuenta actual de la víctima generalmente toma menos de 24 horas.

La campaña resultó en un compromiso de 156 oficiales de alto rango en centros financieros globales y regionales como los EE. UU., Canadá, Alemania, el Reino Unido, Holanda, Hong Kong, Singapur y otros lugares.

Apuntan a Servicios Financieros

La campaña PerSwaysion se enfoca principalmente en compañías de servicios financieros (~ 50%), firmas de abogados y compañías de bienes raíces para llevar a cabo un mayor ataque de la cadena de suministro contra sus clientes y contactos comerciales.

Group-IB creó un sitio web de verificación

En dicho sitio todos pueden verificar si su correo electrónico se vio comprometido por PerSwaysion.

Victims.png

El equipo del Group-IB DFIR fue contratado para examinar un incidente en una empresa con sede en Asia que permitió establecer que PerSwaysion es una sofisticada operación de phishing en 3 fases que utiliza tácticas y técnicas especiales para evitar la detección.

Los actores de la amenaza aprovechan la técnica de ingeniería social perfectamente orquestada al «persuadir» a las personas que ocupan puestos corporativos importantes para abrir un archivo adjunto de correo electrónico PDF no malicioso proveniente de una dirección auténtica en sus contactos.

Víctimas
Víctimas

El archivo PDF adjunto

Es una notificación bien diseñada del uso compartido de archivos de Microsoft 365 a la víctima que imita el formato legítimo.

Al hacer clic en «Leer ahora», la víctima, que en la mayoría de los casos es un oficial de alto rango, es llevada a un archivo alojado en MS Sway en este caso.

1

Los atacantes eligen servicios legítimos de intercambio de contenido basado en la nube, como Microsoft Sway, Microsoft SharePoint y OneNote para evitar la detección del tráfico.

Microsoft 365

La página se parece a una página auténtica para compartir archivos de Microsoft 365.

Sin embargo, esta es una página de presentación especialmente diseñada que abusa de la vista sin bordes predeterminada de Sway.

4 2

Desde esta página, el individuo objetivo es redirigido al destino final, el sitio de phishing real disfrazado como una versión 2017 de la página de inicio de sesión único de Microsoft.

Identificación

Aquí el kit de phishing le asigna a la víctima un número de serie único, que sirve como una técnica rudimentaria de huellas digitales.

Cualquier solicitud repetida a la misma URL será rechazada.

Detiene cualquier esfuerzo de detección automatizada de amenazas a las URL visitadas por los objetivos.

Cuando el empleado de alto nivel envía las credenciales corporativas de Microsoft 365, la información se envía a un servidor de datos separado con una dirección de correo electrónico adicional que está oculta en la página.

Este correo electrónico adicional se utiliza como un método de notificación en tiempo real para garantizar que los atacantes reaccionen ante credenciales recién obtenidas.

Ido en 24 horas

Los actores de amenazas de PerSwaysion llevan a cabo operaciones de seguimiento con credenciales de cuenta recién recopiladas de oficiales de alto rango muy rápidamente.

Phishing en 3 pasos

Los investigadores del Group-IB revelaron que los atacantes toman 3 pasos principales para impulsar una nueva ronda de phishing contra los usuarios con quienes las víctimas tuvieron correspondencia reciente, que en promedio toma menos de 24 horas.

Después de enviar las credenciales a sus CnC, los operadores de PerSwaysion inician sesión en las cuentas de correo electrónico comprometidas.

Vuelven los datos de correo electrónico a través de API y establecen las conexiones comerciales de alto nivel del propietario.

Finalmente, generan nuevos archivos PDF de phishing con el nombre completo, la dirección de correo electrónico y el nombre legal de la compañía de la víctima actual.

Estos archivos PDF se envían a una selección de personas nuevas que tienden a estar fuera de la organización de la víctima y ocupan puestos importantes.

Borran sus huellas

Los operadores de PerSwaysion generalmente eliminan los correos electrónicos de suplantación de la bandeja de salida para evitar sospechas.

El análisis técnico detallado de las operaciones de PerSwaysion y el esquema de ataque está disponible en la publicación del blog del Group-IB.

«Los actores de amenazas de PerSwaysion aún no han demostrado preferencias claras de los modelos de generación de ganancias financieras», dice Feixiang He, analista senior de Inteligencia de amenazas en el Group-IB.

Camuflan todo

«Los atacantes se esconden el acceso a muchas cuentas de correo electrónico corporativo y grandes cantidades de datos confidenciales de correo electrónico de negocios de gestión de alto nivel.

Por lo tanto, abre una amplia gama de posibilidades.

El acceso a la cuenta podría venderse a granel a otros ciberdelincuentes para realizar estafas monetarias tradicionales.

Los datos comerciales confidenciales extraídos de correos electrónicos, como registros financieros no públicos, estrategias comerciales secretas y listas de clientes, podrían venderse al mejor postor en los mercados subterráneos «.

¿Quiénes son «The PerSwayders»?

La campaña PerSwaysion es una serie de operaciones basadas en malware como servicio.

El análisis del kit de phishing de la campaña reveló que fue desarrollado principalmente por actores altamente especializados en amenazas de habla vietnamita.

El módulo de validación de entrada del usuario (VeeValidate) utilizado en el código solo incluye la configuración regional vietnamita, mientras que se admiten 48 idiomas.

Investigaciones posteriores determinaron que los grupos de desarrolladores no realizan campañas de phishing por sí mismos.

En cambio, los desarrolladores probablemente vendieron su kit de phishing y generador de PDF a varios cibercriminales para obtener ganancias directas.

Group-IB Threat Intelligence

Ha rastreado varios subgrupos de actores de amenazas poco conectados que realizan ataques de phishing de forma independiente.

Controlan el total de 27 direcciones de correo electrónico utilizadas para la recopilación y notificación de credenciales de cuentas de correo electrónico robadas.

Estos correos electrónicos se integraron en variantes de los kits de phishing de PerSwaysion.

Algunos de estos correos electrónicos se utilizaron para registrar cuentas de LinkedIn para recopilar posibles perfiles de víctimas.

Dichos datos ayudan a los atacantes de PerSwaysion a elegir personas que ocupan puestos corporativos importantes.

Investigaciones posteriores

Muestran que uno de los primeros equipos de operación de PerSwaysion es un grupo de actores de amenazas que operan en Nigeria y Sudáfrica.

El grupo supuestamente está dirigido por un nigeriano que se conoce con el sobrenombre de Sam.

Este grupo ha llevado a cabo diversas actividades que van desde estafas de compras en línea hasta ataques de phishing desde 2017.

Las grandes diferencias en ubicaciones geográficas y culturas entre los desarrolladores de kits de phishing y los operadores de campaña indican una gran especialización entre los cibercriminales.

«La campaña PerSwaysion es un ejemplo vivo de actores altamente especializados en amenazas de phishing que trabajan juntos para llevar a cabo ataques efectivos contra oficiales de alto rango a gran escala», comenta Feixiang He.

Logística refinada

“Adoptan múltiples tácticas y técnicas para evitar la detección del tráfico y la recopilación automatizada de inteligencia sobre amenazas, como el uso de servicios de intercambio de archivos y alojamiento de aplicaciones web de proveedores acreditados.

La campaña persigue métodos de contrainteligencia no triviales, por ejemplo, aleatorizar nombres de archivos JS maliciosos y tomar huellas digitales de los navegadores de las víctimas y rechazar visitas repetidas.

Tales medidas tomadas por los ciberdelincuentes que buscan obtener información corporativa sensible requieren un enfoque no estándar para su detección y respuesta «.

MS Sway

Los servicios corporativos basados ​​en la nube, como MS Sway, presentan nuevos desafíos a los marcos tradicionales de gestión de riesgos cibernéticos.

El plan adecuado de migración a la nube debe considerar los cambios en la prevención temprana, la detección de anomalías y la respuesta a incidentes.

Al adoptar servicios corporativos basados ​​en la nube, es crucial aplicar la autenticación 2FA para mitigar los riesgos de robo de credenciales de inicio de sesión.

Además, al planificar arquitecturas de servicios basados ​​en la nube, los administradores de sistemas corporativos deben evaluar varias opciones de registro que ofrecen los proveedores de servicios e integrar los datos del registro de actividades en los flujos de detección de riesgos existentes.

 

Por Marcelo Lozano – General Publisher IT Connect Latam