Un nuevo ataque utiliza Dynamic 365 Customer Voice de Microsoft para lanzar phishing

  • Endpoint

"La autopista estática" es un método de ataque que aprovecha páginas web legítimas para burlar los sistemas de seguridad, ya que estos no pueden bloquear directamente a Microsoft, debido a que bloquearía el trabajo. Este tipo de ataques se producen en Facebook, PayPal o QuickBooks.

Avanan, una empresa de Check Point Software Technologies, alerta que los atacantes están utilizando Dynamic 365 Customer Voice de Microsoft para enviar enlaces de phishing. Para ello utilizan "la autopista estática", una técnica que aprovecha las páginas web legítimas para burlar los sistemas de seguridad y llegar a los usuarios. En este tipo de ataques, los sistemas de seguridad no pueden bloquear directamente a Microsoft, ya que bloquearía el trabajo. Este tipo de ataques se están produciendo con frecuencia en Facebook, PayPal o QuickBooks, entre otros.

En este ataque, los ciberdelincuentes utilizan notificaciones de exploradores falsas para enviar archivos maliciosos. En este caso, el correo electrónico proviene de la función de encuestas de Dynamics 365, y la dirección de envío tiene "Forms Pro", que es el antiguo nombre de la función de encuestas. El email muestra que se ha recibido un nuevo mensaje de voz, que para el usuario final parece un mensaje de voz de un cliente que debería ser importante escuchar. Hacer clic en él es el paso natural.

El enlace es un enlace legítimo de Customer Voice de Microsoft. Como el enlace es auténtico, los programas de detección pensarán que este correo electrónico es válido. Sin embargo, al hacer clic en el botón "Play Voicemail", redirige a un enlace de phishing. Es una página de inicio de sesión de Microsoft idéntica, donde los atacantes roban el nombre de usuario y contraseña. Hay que tener en cuenta que la URL es diferente a la de una página típica de Microsoft.

Es un ataque particularmente complicado, sobre todo, porque el enlace de phishing no aparece hasta el último paso. Primero dirigen a los usuarios una página legítima, por lo que pasar por encima de la URL en el cuerpo del correo electrónico no proporciona protección. Es increíblemente difícil para los softwares de seguridad averiguar qué es real y qué se esconde detrás del enlace legítimo. Además, muchos sistemas ven un enlace conocido y, por defecto, no lo escanean.

Avanan se ha encontrado con cientos de estos ataques en las últimas semanas. Para evitar ser víctima de este tipo de ataques, los profesionales de la seguridad deben supervisar siempre todas las URL, incluso las que no están en el cuerpo del correo electrónico; cuando se recibe un email con un mensaje de voz, asegurarse de que se trata de un correo conocido y verificado; y si se está seguro de un email, preguntar al remitente original.