Los usuarios de servicios de videoconferencia populares como Zoom y WebEx deben estar en guardia contra ataques de phishing que buscan robar sus credenciales de servicio, según el director senior de investigación de amenazas de Proofpoint, Sherrod DeGrippo, quien ha estado rastreando un aumento en los ataques temáticos de videoconferencia desde finales de marzo.
La última ola de intentos de ciberataques se enfoca previsiblemente en la pandemia de coronavirus Covid-19, que ha visto a millones de personas cambiar a trabajar desde casa para cumplir con las regulaciones nacionales de bloqueo.
+ Tenemos años trabajando en modalidad remota. ¿Cómo lo logramos?
DeGrippo dijo que la videoconferencia se ha vuelto muy popular rápidamente. Los atacantes se han dado cuenta y se han movido para capitalizar esa popularidad y la fuerza de la marca. Los atacantes no solo usan las marcas de videoconferencia para atraer malware, sino que también lo usan para el phishing de credenciales, en particular para robar las credenciales de Zoom y WebEx.
“Esto apunta al creciente valor de las cuentas de videoconferencia comprometidas. Las credenciales de cuenta robadas podrían usarse para iniciar sesión en cuentas de videoconferencia corporativas y violar la confidencialidad. También podrían venderse en el mercado negro o utilizarse para obtener más información sobre objetivos potenciales para lanzar ataques adicionales”.
¿Cómo lo hacen?
Los ataques de robo de credenciales no dependen de ninguna vulnerabilidad en Zoom o WebEx, sino que explotan los nombres y marcas de los servicios como temas en señuelos de ingeniería social, incitando a las víctimas a ingresar sus contraseñas en un sitio web fraudulento para solucionar un problema o recibir una actualización
DeGrippo añadió que había observado variantes de ambos ataques dirigidos a organizaciones en los sectores de contabilidad, aeroespacial, energía, gobierno, salud, manufactura, tecnología, telecomunicaciones y transporte.
En WebEx
Los ataques de WebEx pretenden provenir de direcciones de correo electrónico de administrador que, a primera vista, podrían ser direcciones legítimas de Cisco, y generalmente tendrán líneas de asunto como “Actualización crítica”, “¡Alerta!” O “El acceso a su cuenta será limitado”.
En Zoom
Los ataques en Zoom apuntan a sectores similares y toman la forma de un vagón de bienvenida, tratando de hacer que sus objetivos hagan clic en un enlace para activar su nueva cuenta de Zoom. El enlace redirige a una página genérica de correo web en la que se les pide que ingresen sus credenciales. Una segunda variante de este reclamo afirma que el destinatario perdió su reunión de Zoom e incluye un enlace que pueden usar para “verificar su conferencia perdida”. Casi no hace falta decir que el enlace no hace nada por el estilo.
DeGrippo dijo que se había visto otra campaña particularmente peligrosa dirigida a usuarios de Zoom en los sectores de construcción, energía, fabricación, comercialización y tecnología. Utiliza señuelos similares que explotan Zoom, pero en realidad está distribuyendo los troyanos de acceso remoto (Ratas) ServLoader / NetSupport. Si está habilitado, estos ejecutables maliciosos podrán acceder a archivos e información en el sistema de la víctima.
El mensaje identificado agradece al objetivo por responder a una solicitud falsa de cotización (RFQ), incluye un archivo adjunto que se relaciona con la RFQ y ofrece una llamada Zoom para discutir más. Las líneas de asunto detectadas en la naturaleza incluyen “[Nombre de la compañía] Reunión cancelada – ¿Podríamos hacer una llamada Zoom? y “[Compañía] – No llegaré a [varios estados de EE. UU.] – ¿Podríamos hablar sobre Zoom?”.
Llamado a la alerta
Como la teleconferencia por video se ha vuelto más importante que nunca para la fuerza laboral global, no es sorprendente que los atacantes se estén moviendo para adaptar sus temas y señuelos incluyendo proveedores de videoconferencia prominentes como Zoom y WebEx. Con más y más organizaciones cambiando al trabajo remoto, podemos esperar que estas marcas de videoconferencia sigan siendo utilizadas como temas en señuelos de ingeniería social en el futuro previsible.
Fuentes: Proofpoint US / ComputerWeekly.com