Microsoft está advirtiendo a las empresas para que extremen las precauciones contra los ciberdelincuentes que usan los formularios de contacto de sus sitios webs. Los piratas informáticos estarían diseminando el troyano bancario IceID mediante correos electrónicos que usan las url de Google dirigidos a los empleados.
Los formularios de 'contacto' del sitio web de cualquier empresa se han convertido en un coladero que los ciberdelincuentes utilizan para abordar a los trabajadores , según informa ZDNET.
¿Cuál es el truco de este ataque? Los delincuentes usan los formularios de contacto para mandar a los empleados URL legítimas de Google que requieren que los usuarios inicien sesión con su nombre de usuario y contraseña de Google. Después llega el envío de malware. Las URL de Google son una llave perfecta, porque evitan los filtros de seguridad del correo electrónico. Lo explica muy bien el blog del equipo de inteligencia de amenazas de Microsoft 365 Defender .
Microsoft está preocupado por la técnica utilizada y actualmente ha detectado a los delincuentes que utilizan las URL en el correo electrónico para infectar con malware IcedID. Pero también podría usarse transmitir otro tipo de troyanos.
IcedID es un troyano bancario que roba información , puede usarse como una especie de semilla para ataques posteriores, como el ransomware, que en este caso sería manejado de forma manual por un ciberdelincuente sentado en el escritorio frente a un ordenador.
"Ya hemos alertado a los grupos de seguridad de Google para que llamen la atención sobre esta amenaza, ya que aprovecha las URL de Google", ha manifestado Microsoft, que detalla:
"Observamos una afluencia de correos electrónicos de formularios de contacto dirigidos a empresas mediante el abuso de los formularios de contacto de las empresas. Esto indica que los atacantes pueden haber utilizado una herramienta que automatiza este proceso mientras eluden las protecciones CAPTCHA".
Los trucos que utilizan para que los empleados sean diligentes y piquen el anzuelo al cumplir su trabajo
Los atacantes utilizan tácticas que obligan a actuar a los empleados rápidamente, por ejemplo mediante el recurso a afirmaciones como que el sitio web está utilizando imágenes para las que no tiene derechos de autor. Se trata de algo que hay que resolver rápido para evitar problemas.
El correo incluiría un enlace a un página dondetendría acceso a esas imágenes para comprobar la veracidad de lo que se le expone.Por supuesto, es solo un truco. Si el empleado se muestra diligente e inicia sesión en el site, la página le descarga de forma completamente automática un archivo Zip con otro JavaScript, que a su vez descarga el malware IcedID como un archivo .DAT. También, según publica ZDNET,descarga un componente del kit de prueba de penetración, Cobalt Strike , que permite al atacante controlar el dispositivo. Se trata de un sistema que puede causar graves problemas a las empresas. Y es que cuando se ejecuta, según Microsoft "IcedID se conecta a un servidor de comando y control (C2) para descargar módulos que ejecutan su función principal de capturar y filtrar credenciales bancarias y otra información".