Visto: 179

El phishing furtivo de Office 365 invierte imágenes para evadir su detección

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Una creativa campaña de phishing de Office 365 ha invertido imágenes que se utilizan como fondos de páginas de destino.

La finalidad, evitar ser marcada como maliciosa por rastreadores encargados para detectar sitios de phishing.

Estos fondos invertidos se usan comúnmente como parte de kits de phishing que intentan clonar páginas de inicio de sesión legítimas lo más real posible para recolectar las credenciales de un objetivo engañándolo para que las ingrese en un formulario de inicio de sesión falso.

Esta táctica ha sido utilizada por varios sitios de phishing de credenciales de Office 365 según los analistas de WMC Global que detectaron esta detalle mientras se implementaba como parte del mismo kit de phishing creado y vendido por un solo actor de amenazas a varios usuarios.

"Debido a que el software de reconocimiento de imágenes está mejorando y volviéndose más preciso, esta nueva técnica tiene como objetivo engañar a los motores de escaneo invirtiendo los colores de la imagen, haciendo que el hash de la imagen sea diferente del original", explica WMC Global. "Esta técnica puede obstaculizar la capacidad del software para marcar esta imagen por completo".

 

20201110 02Versión original junto al fondo invertido (PhishFeed)

 

CSS utilizado para revertir el fondo

La parte complicada que hace viable este método de evasión de detección es que las víctimas potenciales notarían inmediatamente la inusual imagen invertida y sospecharían instantáneamente y, muy probablemente, abandonarían el sitio inmediatamente.

Sin embargo, para evitar esto, el kit de phishing diseñado para usar esta novedosa táctica revierte automáticamente los fondos utilizando hojas de estilo en cascada (CSS) para que se vean como los fondos originales de las páginas de inicio de sesión de Office 365 que están tratando de imitar.

Los objetivos que sean redirigidos a una de estas páginas de destino de phishing verán el fondo original en lugar de los fondos de imagen invertidos con el que se servirán los rastreadores web.

El uso de esta táctica permite que el kit de suplantación de identidad muestre diferentes versiones de la misma página de destino de suplantación de identidad a las víctimas y a los motores de análisis, lo que obstaculiza efectivamente los intentos de estos últimos de detectar que el sitio web esta implementado como un sitio malicioso.

 

20201110 03

Código CSS utilizado para revertir la imagen (PhishFeed)

 

Método adaptado al nuevo fondo de Office 365

También es importante mencionar que esta táctica de inversión de imágenes se observó dentro de un kit de phishing de credenciales de Office 365 que se utiliza activamente según los analistas de WMC Global.

"Nuestro equipo revisó otras campañas implementadas por este actor de amenazas y descubrió que el individuo estaba usando la misma técnica de inversión en el entorno más nuevo de Office 365", explican con más detalle.

A principios de este año, otra campaña de phishing de Office 365 hizo uso de trucos CSS para eludir las puertas de enlace de correo electrónico seguras (SEG) al invertir el texto en el código HTML de un correo electrónico de phishing para completar los modelos estadísticos bayesianos de las puertas de enlace de correo electrónico.

Otras campañas de phishing dirigidas a los usuarios de Office 365 también han utilizado técnicas innovadoras como probar el inicio de sesión robado en tiempo real, abusar de Google Ads para eludir puertas de enlace de correo electrónico seguras, así como Google Cloud Services, Microsoft Azure, Microsoft Dynamics e IBM Cloud para alojar las páginas de destino de phishing.

 

Fuente de información: https://www.bleepingcomputer.com/news/security/sneaky-office-365-phishing-inverts-images-to-evade-detection/