Investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., y Otorio han hallado una campaña de phishing a gran escala a través de la cual los cibercriminales dejaron de forma accidental credenciales robadas a disposición del público a través de una búsqueda en Google.
Esta campaña de phishing comenzó el pasado mes de agosto mediante el envío de correos electrónicos que se hacían pasar por notificaciones de escaneado de Xerox. En los emails incitaban a los usuarios a que abrieran un archivo malicioso adjunto en formato HTML que evadía el filtro de protección avanzada de amenazas (ATP) de Microsoft Office 365. De esta manera, los ciberdelincuentes pudieron sustraer las credenciales de más de mil empleados de la empresa.
Una vez extraídos los datos, estos se almacenaban en docenas de servidores WordPress controlados por los ciberdelincuentes, los cuales incluían un archivo malicioso PHP y se encargan de procesar todas las credenciales obtenidas.
Sin embargo, y debido a un simple error en la cadena de ataque, los atacantes que estaban detrás de esta campaña de phishing terminaron exponiendo estos datos en Internet, ya que la carpeta donde estaban almacenados fue indexada por Google, por lo que esta información estaba visible para todo el público. Todo un obsequio para cualquier ciberdelincuente oportunista.
"Tendemos a pensar que cuando alguien roba nuestras contraseñas, en el peor de los casos los ciberdelincuentes utilizarán esta información en la darknet para obtener beneficio. Sin embargo, en esta ocasión no ha sido así, puesto que ahora eso datos son accesibles para todo el mundo con tan sólo realizar una búsqueda correcta en Google”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal.
“La estrategia de los cibercriminales era almacenar la información robada en una página web específica que ellos mismos crearon para, tras engañar a sus víctimas, recabar todos los datos almacenados en estos servidores. Lo que no pensaron es que si ellos eran capaces de rastrear la web en busca de esta información, Google también podía. Esta fue claramente una operación", ha concluido.