Detectadas tres campañas de intento de robo de credenciales corporativas

Los robos de credenciales, en los que los delincuentes intentan hacerse con el usuario y contraseña de varios servicios para, posteriormente, venderlas o usarlas en ataques de acceso inicial a redes corporativas, es una tendencia al alza, especialmente en España. Entre las credenciales más codiciadas se encuentran las que permiten acceder a las cuentas de correo de empleados. Recientemente ESET ha descubierto tres campañas diferentes que se han estado propagando en los últimos días.

En el robo de credenciales, los ciberdelincuentes pueden optar por varias técnicas que van desde el envío de malware, capaz de robar credenciales almacenadas en varias aplicaciones de uso frecuente en empresas, hasta pedir directamente que el usuario introduzca sus contraseñas. Estos correos tratan de convencer al usuario de varias formas para que acceda a un enlace preparado por los delincuentes donde se solicitarán sus credenciales. En uno de los casos se utiliza como gancho la necesidad de revisar un número de correos que se han quedado en la cuarentena del buzón de correo.

Otro de los ejemplos de este tipo de correos recibidos en las últimas horas utiliza un falso aviso donde se le indica al usuario que su cuenta será desactivada próximamente si no se registra en la nueva versión de su buzón de correo. En este correo se llega incluso a mencionar la empresa para la que trabaja el empleado que recibe el correo para darle mayor veracidad.

El último de los correos de este estilo enviado en las últimas horas está escrito en español y nos alerta de que la contraseña de nuestro buzón de correo expirará en breve, pero nos da la oportunidad de seguir usando la contraseña actual si se accede al enlace proporcionado y la introducimos.

Este tipo de correos buscan generar cierta sensación de urgencia en el receptor del mensaje para que actúe rápidamente y no se pare a pensar si el correo ha sido enviado por un remitente legítimo, o si la web a la que se accede pertenece a su empresa. Dependiendo de la campaña de phishing, los delincuentes pueden personalizar o no la web donde se solicitan las credenciales, incluyendo logos y colores corporativos.

En el caso de que el usuario caiga en la trampa, sus credenciales de correo serán recopiladas por los delincuentes y usadas para suplantar la identidad de la víctima y usar su mail con fines maliciosos. Esto incluye el envío de correos a sus compañeros de empresa, clientes o proveedores con ficheros adjuntos o enlace a la descarga de archivos que suelen estar infectados y que, a su vez, pueden ser utilizados para proseguir con el robo de credenciales o, en casos más graves, comprometer la seguridad y la información de los dispositivos que infecta.

Uno de los peores escenarios a los que se puede enfrentar una empresa donde se haya producido un robo de credenciales de este tipo es aquel donde los ciberdelincuentes utilizan estas contraseñas para reconocer la red corporativa, los usuarios existentes e incluso enviar malware que sirva como cabeza de puente para ataques posteriores. Estos ataques pueden incluir movimientos laterales hasta llegar a máquinas clave como controladores de dominio o servidores de fichero que pueden facilitar el robo de información confidencial y el cifrado de sistemas de toda la red corporativa.

“Como hemos visto, no hace falta que los delincuentes se compliquen excesivamente la vida para conseguir robar credenciales de correo. Con solo un correo enviado de forma masiva a varias empresas pueden hacer que varios empleados caigan en la trampa y eso puede ser solo el comienzo de los problemas, por lo que debemos protegernos con soluciones de seguridad que impidan que estos correos lleguen siquiera a la bandeja de entrada de los usuarios”, señala Josep Albors, director de investigación y concienciación de ESET España.