Visto: 198

Los correos electrónicos empresariales están siendo comprometidos mediante formularios de Google

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

El uso de Google Forms no es nuevo y se observa habitualmente en campañas de phishing de credenciales. 

A principios de diciembre de 2020, Proofpoint Threat Research observó a los atacantes que utilizan Formularios de Google para eludir los filtros de contenido de seguridad del correo electrónico basados en palabras clave.

Esta campaña híbrida combina los beneficios de la escala y la legitimidad al aprovechar los servicios de Google con ataques de ingeniería social, más comúnmente asociados con BEC. Observamos miles de mensajes entregados principalmente a los sectores de retail, de telecomunicaciones, sanitario, energético y de manufactura.

Google Forms permite a los actores redactar y enviar sus correos electrónicos para evadir los filtros de correo electrónico de entrada y salida. El asunto del correo son nombres únicos de ejecutivos de nivel C de las organizaciones objetivo, sin intentar utilizar la suplantación de nombres para mostrar. Los correos electrónicos son simples, pero transmiten una sensación de urgencia. Exigen una "Tarea rápida" del usuario por parte de la persona que envía el correo quien afirma estar entrando en una reunión o demasiado preocupado para manejar la tarea por sí mismo. Quien envía la información pregunta cortésmente al usuario si "tiene un momento", un abridor común en el fraude de tarjetas de regalo. A continuación, se muestra un ejemplo del mensaje BEC:

 

20210127 02

Imagen 1: Correo electrónico BEC y formulario de Google adjunto

 

El enlace del correo electrónico lleva al usuario a un formulario predeterminado sin título alojado en la infraestructura de Google Forms. El objetivo principal es obtener una respuesta por parte de la víctima, con el pretexto de que la encuesta está rota o no es lo que esperaban. Como objetivo secundario, es probable que el formulario sirva como sensor para ver simplemente si alguien completa su formulario, funciona como una técnica de reconocimiento para eliminar a los usuarios que pueden ser susceptibles de hacer clic en un enlace sospechoso que se encuentra en un correo electrónico.

Aunque estos mensajes pueden parecer primitivos, todavía existe una amenaza al responder o completar este formulario inofensivo porque la acción del usuario puede llevar a seguir acciones dirigidas a una audiencia más receptiva. Aquí hay un formulario de ejemplo:

 

20210127 03

Imagen 2: Formulario de Google

 

Dada la suplantación de identidad de la suite C, esperamos que esta sea una campaña de reconocimiento de correo electrónico para permitir la selección de objetivos para la actividad de amenazas de seguimiento indeterminadas. El tono de urgencia en los correos electrónicos es consistente con actores anteriores de BEC, y por lo tanto, queremos garantizar la conciencia de seguridad de estos intentos como una indicación o advertencia para los clientes y la comunidad de seguridad.

Si bien la ingeniería social es omnipresente en los ataques transmitidos por correo electrónico, se emplea de manera diferente en el malware y el phishing de credenciales que en las campañas BEC. En una campaña de malware, la ingeniería social se utiliza en el correo electrónico inicial. Por el contrario, en BEC, la ingeniería social se utiliza durante todo el ciclo de vida del fraude. Aunque es raro, observamos a los actores que entregan malware después del intercambio de mensajes benignos.

IOCS:  

Email addresses:  

  1. fgtytgyf@gmail.com 
  2. cxodom@gmail.com 
  3. athapril418@gmail.com 
  4. ftghmog4@gmail.com 
  5. mrmichaelsoma2@gmail.com 
  6. songsofsolomon247@gmail.com 
  7. chrislome4561@gmail.com 
  8. directcontact35@gmail.com 
  9. gloria011peleaz@gmail.com 
  10. chrischunge67@gmail.com 

 

Fuente de información: https://www.proofpoint.com/us/blog/threat-insight/bec-target-selection-using-google-forms