Detectados ataques de phishing a través de notificaciones legítimas de SharePoint
- Endpoint
Las notificaciones son enviadas en nombre de una organización real, lo que no genera dudas si la empresa utiliza SharePoint a diario, además de ser un formato que elude mejor los filtros antispam. Se han descubierto más de 1.600 notificaciones maliciosas en empresas de España, entre otros países.
Los ciberdelincuentes trabajan ininterrumpidamente para eludir los filtros de seguridad que detectan correos de phishing. Hasta ahora, ocultaban los enlaces maliciosos en un servidor SharePoint, pero la última tendencia es distribuirlos a través de notificaciones legítimas de este servicio. Así lo señala Kaspersky, cuyas soluciones de seguridad filtraron más de 1.600 notificaciones maliciosas entre diciembre y febrero de 2023 en empresas de España, Austria, Francia, India, Italia, Japón, Países Bajos, Rusia, Singapur, Corea del Sur y Estados Unidos.
La víctima recibe un mensaje de SharePoint que explica que alguien ha compartido un archivo de OneNote con él. Las notificaciones son enviadas en nombre de una organización real, lo que no genera dudas, especialmente si la empresa utiliza SharePoint a diario. El correo es completamente legítimo y elude más fácilmente el filtro antispam que un enlace de phishing oculto en un servidor SharePoint, siendo capaz, incluso, de sortear la vigilancia de los empleados con más nociones tecnológicas.
El empleado sigue el enlace hacia el archivo de OneNote. El cuerpo de la nota contiene, a su vez, otra notificación con un icono que corresponde a otro archivo diferente (como un PDF) y un enlace que enlace conduce a una web de phishing que imita la página de Microsoft OneDrive. Los ciberdelincuentes lo usan para robar credenciales de cuentas de correo como Yahoo!, AOL, Outlook, Office 365 y muchas otras plataformas.
Aunque esta amenaza es muy convincente, hay una serie de señales que deben hacer saltar las alarmas y que es importante explicar a los empleados. Como explica Roman Dedenok, experto en análisis de spam de Kaspersky, “de entrada, el archivo y el remitente son desconocidos. Además, los compañeros de trabajo no suelen compartir correos con documentos sin un texto previo”. Otras señales de alerta es que hay un enlace a un archivo de OneNote, pero aparece un archivo PDF. El enlace conduce a un sitio de terceros cuya dirección web nada tiene que ver con la organización en la que trabaja la víctima o el servidor SharePoint, y además, el sitio de phishing imita la página de inicio de sesión de OneDrive, servicio tampoco relacionado con SharePoint. “Para mantenerse a salvo, hay que tener cuidado con los correos sospechosos y prestar atención a estos detalles”, señala Dedenok.
