Los sitios web comprometidos o conocidos como maliciosos son una de las principales vías de propagación de infecciones de malware en cualquier tipo de dispositivo. Limitar la navegación por sitios web dudosos reduce la posibilidad de infecciones de malware; aunque el principal problema reside en que, en muchas ocasiones, no somos conscientes de estar incurriendo en este riesgo.

Según los últimos datos, el 91% de todos los ataques comienzan con un correo electrónico de phishing a una víctima desprevenida. Además, el 32% de todas las infracciones ejecutadas con éxito involucran el uso de técnicas de phishing. A pesar de los programas de seguridad y de los esfuerzos de las empresas para educar a los usuarios sobre los peligros y los métodos para detectar los correos electrónicos fraudulentos, estos ataques de ingeniería social siguen teniendo un gran éxito.

Ahora Microsoft gana una batalla en los tribunales, echando un capote a particulares y empresas en la lucha contra el phishing, y obtiene una orden judicial que permite a la empresa tomar el control de dominios maliciosos que usaban el COVID-19 como señuelo para estafas.

Denuncia a un grupo de ciberdelincuentes con víctimas en 62 países

Estos dominios fraudulentos eran utilizados por cibercriminales – de los que no se ha especificado el origen ni localización-, que aprovechaban la pandemia del COVID-19 para sustraer datos a usuarios de hasta 62 países mediante el phihing, intentando obtener acceso al correo electrónico de los clientes, a sus contactos, a documentos confidenciales y demás información valiosa.

Ahora, con la acción legal emprendida en un tribunal de Virginia (EEUU), Microsoft se ha dirigido a un grupo de phishers que operaban desde diciembre de 2019, enviando correos electrónicos falsificados -y que parecían provenir de compañeros de trabajo o de un socio comercial de confianza-, a empresas que alojaban servidores de correo electrónico e infraestructura empresarial en el servicio en nube de Microsoft Office 365.

Basándose en los patrones descubiertos en ese momento, Microsoft utilizó medios técnicos para bloquear la actividad de los ciberdelincuentes y desactivar la aplicación maliciosa utilizada en el ataque. Sin embargo, los ciberdelicuentes cambiaron su estrategia utilizando mensajes relativos al COVID-19 para dirigirse a sus víctimas con el fin de aprovecharse de las preocupaciones financieras relacionadas con la pandemia e inducirlas a hacer clic en enlaces maliciosos.

Esta operación de phishing en particular era única porque los atacantes no redirigían a los usuarios a sitios que imitaran la página de inicio de sesión de Office 365. En su lugar, los hackers promocionaron un documento de Office. Cuando los usuarios intentaban abrir el archivo, se les redirigía para que instalaran una aplicación Office 365 de terceros creada por el grupo cibercriminal. La aplicación – si llegaba a ser instalada-, otorgaba a los atacantes acceso total a la cuenta de Office 365 de la víctima, a su configuración, a los archivos del usuario, al contenido de sus correos electrónicos, a las listas de contactos y a las notas, entre otras posibilidades.

Microsoft explicó que al usar una aplicación de terceros de Office 365, los hackers obtuvieron todo el acceso que necesitaban a las cuentas de los usuarios sin necesidad de recolectar sus contraseñas, recibiendo en su lugar un token OAuth2. El gigante tecnológico señaló que los ataques iniciales del grupo comenzaron utilizando temas relacionados con los negocios, pero que rápidamente cambiaron a correos electrónicos que contenían documentos con temática de coronavirus una vez que el COVID-19 se convirtió en una pandemia mundial.

Resolución: Microsoft toma el control de los dominios que usaban el COVID-19 como señuelo para estafas

Tras el análisis del caso, el Tribunal ha dictado una orden judicial que permite a Microsoft tomar el control de los nombres de dominio utilizados por los delincuentes para desarticularlos y así impedir los ataques. Para protegerse contra las campañas de ‘phishing’, incluido el BEC, Microsoft recomienda la habilitación de la autenticación de doble factor en todas las cuentas y de las alertas de seguridad sobre enlaces de sitios web y archivos sospechosos.

Desde Panda Security recomendamos también que no se activen las macros de un documento Word si no se está seguro que proviene de una fuente confiable. Además, las empresas deben asegurarse de que el software está actualizado, cuenten con una solución de seguridad avanzada como Adaptive Defense 360 y conciencien a su equipo de la importancia del papel de la ciberseguridad en el buen funcionamiento de la empresa.