WeTransfer es utilizado en campañas de spam maliciosas
- Endpoint
Los hackers están abusando del popular servicio de intercambio de archivos para eludir los gateways de seguridad diseñados para bloquear mensajes de spam con URL maliciosas. Ha habido un aumento en los ataques dirigidos a los sectores de banca, energía y medios usando esta técnica.
WeTransfer está siendo utilizado por phishers para eludir los gateways de seguridad del email que buscan detectar enlaces maliciosos. Los atacantes abusan del servicio de intercambio de archivos para cargar un archivo y compartirlo con alguien a través de un enlace de correo electrónico, el cual es un archivo HTM o HTML que redirige a una página de inicio de phishing. Investigadores de Cofense han observado un aumento en los ataques dirigidos a los sectores de banca, energía y medios usando esta técnica.
"El cuerpo del correo electrónico es una notificación genuina de WeTransfer que informa a la víctima de que un archivo ha sido compartido con ellos", señala Jake Longden, analista de amenazas de Cofense. Para abusar del servicio, el usuario ingresa una dirección de correo electrónico del emisor y una dirección de correo electrónico del destinatario en la interfaz de WeTransfer y carga un archivo. A continuación, el remitente puede personalizar un mensaje que el destinatario ve. "Aquí, el actor de amenazas a menudo escribe una nota que indica que el archivo es una factura que debe revisarse", afirma Longden. Esta es una táctica de phishing habitual para despertar el interés del usuario.
Cuando el usuario hace clic en el botón "Obtener sus archivos" en el cuerpo del mensaje, el usuario es redirigido a la página de descarga de WeTransfer, donde se aloja un archivo HTM o HTML. Cuando el usuario abre el archivo .html es redirigido a una página de phishing, donde se solicita a las víctimas que ingresen sus credenciales de Office365 para iniciar sesión y recuperar el archivo. Las campañas recientes se han centrado en servicios de Microsoft, pero otras marcas también han sido falsificadas.
Cofense señala que los servicios populares como WeTransfer no son vistos a menudo como potencialmente peligrosos por los gateways de seguridad del email. "Estos enlaces generalmente sortean los gateways como correos electrónicos benignos, a menos que se modifique la configuración para restringir el acceso a dichos sitios de intercambio de archivos", concluye Longden.
