XLS.HTML, una campaña de phishing que emplea múltiples métodos de cifrado

  • Endpoint

phishing generica

Esta campaña de phishing ejemplifica la amenaza de correo electrónico moderna: sofisticada, evasiva y en constante evolución. El objetivo principal de esta campaña es recolectar nombres de usuario y contraseñas, así como la dirección IP y la ubicación, para intentos de infiltración posteriores.

Los ciberdelincuentes intentan cambiar las tácticas tan rápido como lo hacen las tecnologías de seguridad y protección. Pues bien, Microsoft ha investigado durante un año una campaña de phishing con temática de facturas llamada XLS.HTML en la que los atacantes cambiaron los mecanismos de ofuscación y cifrado cada 37 días de media, demostrando una alta motivación y habilidad para evadir constantemente la detección y mantener la operación de robo de credenciales en ejecución.

Esta campaña de phishing ejemplifica la amenaza de correo electrónico moderna: sofisticada, evasiva y en constante evolución. El archivo adjunto HTML se divide en varios segmentos, incluidos archivos JavaScript utilizados para robar contraseñas, que luego se codifican utilizando varios mecanismos. Los atacantes pasaron de usar código HTML de texto no cifrado a emplear múltiples técnicas de codificación, incluidos métodos de cifrado antiguos e inusuales como el código Morse, para ocultar estos segmentos de ataque. Algunos de estos segmentos de código ni siquiera están presentes en los datos adjuntos. En su lugar, residen en varios directorios abiertos y son llamados por scripts codificados.

El archivo adjunto es comparable a un rompecabezas: por sí solos, los segmentos individuales del archivo HMTL pueden parecer inofensivos a nivel de código y, por lo tanto, pueden pasar por encima de las soluciones de seguridad convencionales. Sólo cuando estos segmentos se juntan y decodifican correctamente se muestra la intención maliciosa.

El objetivo principal de esta campaña es recolectar nombres de usuario, contraseñas y, en su iteración más reciente, otra información como la dirección IP y la ubicación, que los atacantes usan como punto de entrada inicial para intentos de infiltración posteriores. Los componentes de la campaña incluyen información sobre los objetivos, como su dirección de correo electrónico y el logotipo de la empresa. Tales detalles mejoran el señuelo de ingeniería social de una campaña y sugieren que se produce un reconocimiento previo de un destinatario objetivo.

Los ataques basados en correo electrónico siguen haciendo nuevos intentos de eludir las soluciones de seguridad de correo electrónico. En el caso de esta campaña de phishing, estos intentos incluyen el uso de ofuscación multicapa y mecanismos de cifrado para los tipos de archivos existentes conocidos, tales como JavaScript. La ofuscación multicapa en HTML también puede evadir las soluciones de seguridad del navegador.