Cibercriminales exponen por error miles de credenciales robadas

  • Endpoint

Seguridad victima ataque

La estrategia de los cibercriminales era almacenar la información robada en una página web que ellos mismos crearon para, tras engañar a sus víctimas vía phishing, recabar los datos y almacenarlos en servidores WordPress. Google indexó estos documentos dejándolos accesibles.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar

Investigadores de Check Point Research y Otorio han descubierto una campaña de phishing a gran escala a través de la cual los cibercriminales robaron miles de credenciales, las cuales han dejado de forma accidental a disposición del público a través de una búsqueda en Google. Todo un obsequio para cualquier ciberdelincuente oportunista.

La campaña de phishing comenzó el pasado mes de agosto mediante el envío de correos electrónicos que se hacían pasar por notificaciones de escaneado de Xerox. Estos emails incitaban a los usuarios a abrir un archivo malicioso adjunto en formato HTML que evadía el filtro de protección avanzada de amenazas (ATP) de Microsoft Office 365, redirigiendo a las víctimas a una página de inicio de sesión similar a Xerox, lo que permitió a los ciberdelincuentes sustraer las credenciales de más de mil empleados de la empresa.

Una vez extraídas las contraseñas y direcciones de correo electrónico de las víctimas estas se almacenaron en docenas de servidores WordPress controlados por los ciberdelincuentes, los cuales incluían un archivo malicioso PHP y se encargan de procesar todas las credenciales obtenidas. Sin embargo, un simple error en la cadena de ataque provocó que los datos se terminaran exponiendo en Internet, ya que la carpeta donde estaban almacenados fue indexada por Google, por lo que automáticamente se convirtieron en información accesible para todo el mundo. Para ello, tan sólo había que realizar una búsqueda en Internet.

"Tendemos a pensar que cuando alguien roba nuestras contraseñas, en el peor de los casos los ciberdelincuentes utilizarán esta información en la darknet para obtener beneficio. Sin embargo, en esta ocasión no ha sido así, puesto que ahora eso datos son accesibles para todo el mundo con tan sólo realizar una búsqueda correcta en Google”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “La estrategia de los cibercriminales era almacenar la información robada en una página web específica que ellos mismos crearon para, tras engañar a sus víctimas, recabar todos los datos almacenados en estos servidores. Lo que no pensaron es que, si ellos eran capaces de rastrear la web en busca de esta información, Google también podía. Esta fue claramente una operación de seguridad fallida para los cibercriminales".

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos