• Home /

  • Ciberseguridad /

  • Los enlaces maliciosos de SharePoint Online y OneDrive, los más "atractivos" para los usuarios

Los enlaces maliciosos de SharePoint Online y OneDrive, los más "atractivos" para los usuarios

Guardar

Tula, Russia 17. 06 2019 SharePoint on the laptop display.
Tula, Russia 17. 06 2019 SharePoint on the laptop display.

Proofpoint ha realizado un informe en el que ha analizado por qué tienen tanto éxito los ataques combinados de phishing que utilizan servicios de nube y compromiso de cuentas de correo.

La compañía de ciberseguridad también ha ofrecido las claves para hacerles frente en un comunicado en el que ha destacado que los autores de amenazas han seguido la migración empresarial a la nube.

Según explica, los atacantes ponen en riesgo y toman el control de las cuentas de los usuarios para moverse lateralmente dentro de una organización, robar datos o comunicarse con sus socios comerciales y clientes, solicitando transferencias bancarias fraudulentas. Para alojar y distribuir contenido malicioso, utilizan su infraestructura de nube y correo electrónico. También aprovechan los contactos de los usuarios y sus correos electrónicos para conocer las relaciones de confianza y hacer un mapa detallado de las organizaciones.

Además, Proofpoint advierte que, sacando provecho de la manera actual de trabajar de los empleados, como el intercambio de archivos, "los ataques pueden ser más efectivos que nunca". De hecho, subraya que su informe ha dejado patente que los usuarios son siete veces más propensos a hacer clic en enlaces maliciosos de SharePoint Online y OneDrive alojados en dominios legítimos de Microsoft.

En este sentido, la compañía explica que, en el primer semestre de 2020, detectó 5,9 millones de mensajes de correo electrónico que contenían enlaces maliciosos de SharePoint Online y OneDrive.

"Y aunque este volumen de mensajes supone aproximadamente el 1% del total de mensajes que contienen URLs maliciosas, representan más del 13% de los clics de los usuarios. Los usuarios fueron cuatro veces más propensos a hacer clic en enlaces maliciosos de SharePoint, y 11 veces más propensos a hacer clic en enlaces maliciosos de OneDrive".

Asimismo, Proofpoint señala que su informe ha puesto de manifiesto que los mensajes se distribuyeron desde más de 5.500 dominios comprometidos, "lo que supone una gran parte de la base de clientes empresariales de Microsoft".

Enlaces maliciosos de SharePoint / OneDrive

Según indica Proofpoint, el phishing de SharePoint suele comenzar con el compromiso de la cuenta en la nube. "Una vez conseguido el control de la cuenta, el atacante carga un archivo malicioso y luego cambia los permisos de uso compartido del archivo a 'Público' para que el nuevo enlace anónimo pueda compartirse con cualquier persona. El atacante envía el enlace por correo electrónico o comparte el enlace con los contactos del usuario u otras cuentas específicas, internas o externas".

"Cuando los destinatarios abren el archivo y hacen clic en el enlace malicioso insertado -continúa-, son víctimas de phishing, y esto vuelve a iniciar todo el ciclo nuevamente. Estos ataques pueden generar un robo de datos o diferentes formas de fraude electrónico, como el fraude en la cadena de suministro".

La compañía también aporta ejemplos, tanto de PDF, como de OneNote y de Microsoft Forms.

En el ejemplo de PDF, un usuario recibe un correo electrónico con un enlace compartido a un archivo PDF (INV_1100110.pdf), que parece una factura. Cuando hace clic en el enlace del archivo PDF, se le dirige a un sitio de phishing que es una página de inicio de sesión de OneDrive falsa.

"A veces, el enlace que contiene el documento compartido puede ser una URL de redireccionamiento que es única y, por lo tanto, puede ser difícil de detectar, ya que no aparecería en ningún repositorio de reputación de URLs", advierte Proofpoint.

El ejemplo de One Note es un ataque que utiliza SharePoint para alojar un archivo de OneNote malicioso que se hace pasar por correo de voz:

Respecto a los archivos maliciosos de OneNote, Proofpoint advierte que también pueden suponer un desafío puesto que no se pueden descargar ni almacenar en una sandbox. "La detección requiere un paso adicional: la extracción de datos web (web-scraping) antes de analizar los enlaces incrustados".

En el ejemplo de Microsoft Forms, el ciberdelincuente comparte un documento de Word con un enlace a un archivo de Microsoft Forms compartido públicamente (la página de inicio de sesión falsa), que se utiliza para recopilar las credenciales de Office 365.

"Dado que este ataque utiliza servicios legítimos de Microsoft y es pura ingeniería social, es más complicado de detectar y aún más difícil de bloquear por parte de aquellas compañías que carecen de visibilidad en los entornos de correo electrónico y nube", señala la compañía.

Proofpoint también ha subrayado que ha observado que algunos atacantes alojan contenido malicioso en una cuenta comprometida en un dominio, y usan la cuenta comprometida de un VIP de otro dominio.

"Compartir el enlace malicioso desde la cuenta del usuario adecuado aumenta las posibilidades de éxito de los atacantes. Además, incluso si se descubre la cuenta comprometida en el segundo dominio, el archivo malicioso alojado en el primero no se eliminaría. Y así, el ataque persistiría", alerta la compañía de ciberseguridad.

Los 10 dominios de servicios colaborativos con enlaces maliciosos en los que más se hace clic

Proofpoint también ha revelado la lista de los 10 principales dominios, ordenados por el número de clics en enlaces maliciosos alojados en ellos durante la primera mitad de 2020.

SharePoint encabeza la lista y destaca la presencia de Sway, la nueva aplicación de Microsoft para crear y compartir contenido interactivo, y de Googleapis, un servicio de alojamiento de archivos (como un parche de software) que usan los atacantes para estafas de soporte.

Cómo defenderse de amenazas híbridas de correo electrónico y nube

Para defenderse de ataques híbridos, Proofpoint destaca que las organizaciones deben obtener visibilidad sobre los vectores de amenazas de nube y de correo electrónico, y abordar la cadena de ataque de manera integral. Además, añade que también deben conocer quiénes son sus personas muy atacadas (VAP), los riesgos que suponen para su organización y los siguientes datos:

  • Quiénes son blanco prioritario de las amenazas.
  • Qué técnicas se están utilizando para atacar a estos usuarios.
  • Quién ha hecho clic en enlaces maliciosos.
  • Qué usuarios son más propensos a hacer clic.
  • Qué cuentas están comprometidas en la organización.
  • Cuáles de las cuentas comprometidas muestran actividad de archivos sospechosos.