Se ha advertido a empresas de Australia y la región APAC que los ciberdelincuentes están explotando plataformas populares como Atlassian para lanzar ataques de phishing más convincentes contra bufetes de abogados y otras corporaciones. Estos ataques tienen como objetivo robar las credenciales de los empleados y violar las defensas de seguridad cibernética de la empresa.
Ryan Economos, director de tecnología de campo de APAC de la empresa de seguridad de correo electrónico Mimecast, dijo a TechRepublic que este tipo de ataques de phishing son raros en el uso de Atlassian como tapadera. Pero señaló que los ataques de phishing se están volviendo cada vez más sofisticados gracias a los kits de phishing y la inteligencia artificial, que facilitan a los ciberdelincuentes la ejecución de sus actividades.
Espacios de trabajo de Atlassian, ISP japoneses y un artículo de portada sobre cumplimiento
Mimecast Informe global de inteligencia sobre amenazas 2024 H1 informó sobre el surgimiento de una nueva táctica de phishing que utilizaba una portada de actualización de cumplimiento para atacar a los empleados de los bufetes de abogados. Los ataques de phishing:
- Aprovechó los espacios de trabajo de la popular marca local Atlassian, así como otras plataformas de espacios de trabajo unificados, incluidas Archbee y Nuclino, para enviar a los empleados correos electrónicos dañinos que parecían familiares y legítimos.
- Usó actualizaciones de cumplimiento de dispositivos como cobertura, indicando a los empleados por correo electrónico que necesitaban actualizar sus dispositivos para seguir cumpliendo con la política de la empresa.
- Fueron diseñados para redirigir a quienes hicieron clic en el enlace a un portal empresarial falso, donde los atacantes podrían recopilar credenciales y otra información confidencial.
- Se incorporó el enlace de phishing en un correo electrónico enviado desde direcciones asociadas con ISP japoneses.
“Hay mucha personalización en los correos electrónicos, como detalles de un ‘dispositivo’ y varias referencias al dominio de la empresa a la que envían estas campañas para aumentar la validez”, dice el informe de Mimecast.
VER: La profesión jurídica de Australia se apresura a adoptar la IA
“El nombre de la dirección del remitente siempre se refiere al nombre de dominio de la organización objetivo con el objetivo de engañar a los usuarios finales haciéndoles creer que proviene de su departamento interno”.
La creciente sofisticación de los ataques de phishing
Economos señaló que si bien la campaña inicialmente estaba dirigida a firmas de abogados australianas, desde entonces se ha expandido a otras industrias y ya no se limita al sector legal. Destacó varios aspectos de la campaña que indican una creciente sofisticación entre los actores de amenazas.
Uso de Atlassian y otros espacios de trabajo
Economos dijo que el uso creciente de los espacios de trabajo de Atlassian era un desarrollo más reciente para el mercado.
“Mimecast sigue viendo actores de amenazas haciendo uso de servicios como OneDrive y Google Docs para alojar archivos o enlaces en sus campañas, pero el uso de espacios de trabajo como Atlassian no ha sido objeto de un gran abuso anteriormente”, dijo.
Parte de la campaña era un correo electrónico que parecía ser del producto Confluence de Atlassian. Mimecast se refirió a un “aumento notable en el uso de Atlassian” para evadir la detección en los últimos tiempos.
“El abuso de servicios legítimos es un desafío continuo y en evolución”, dijo Economos. “Los atacantes seguirán aprovechando fuentes acreditadas para lanzar y alojar sus campañas, en un intento de evadir la detección”.
VER: El alarmante estado de las filtraciones de datos en Australia en 2024
Recolección de inteligencia de datos del rastreador
La campaña utilizó URL con matasellos para redirigir a los usuarios a las soluciones de espacio de trabajo unificado. Las URL de matasellos permiten a los atacantes recopilar datos como la ubicación, los detalles del navegador y en qué parte del correo electrónico se hizo clic, lo que les permite aprovechar esta inteligencia para hacer que el señuelo de phishing sea más convincente.
Múltiples técnicas de ofuscación de URL
Para hacer más difícil para los usuarios identificar el verdadero destino de la URL, la campaña de phishing utilizó “múltiples técnicas de ofuscación”, dijo Mimecast. Esto incluye múltiples redirecciones dentro de la URL, caracteres codificados y la inserción de parámetros de seguimiento.
Reclutamiento de ISP japoneses desprevenidos
Aunque el uso de ISP japoneses no es exclusivo de esta campaña de phishing, Economos señaló que fueron explotados una vez más, como lo habían hecho en varios ataques anteriores.
“Continúa exponiendo hasta dónde llegarán los actores de amenazas para generar ataques con éxito contra las organizaciones”, comentó.
Los ataques de phishing serán más fáciles de montar y más convincentes
El phishing sigue siendo una de las amenazas cibernéticas más comunes entre las organizaciones, afirmó Economos.
Se espera que la IA generativa y el aprendizaje automático, además de ayudar a los defensores a detener los ataques, aumenten la sofisticación y mejoren la orientación y el contenido de las campañas de phishing. Esto impulsará la necesidad de los defensores de detectar y responder rápidamente a técnicas de ataque nuevas y novedosas.
VER: Los empleados de APAC prefieren la comodidad a la ciberseguridad
“La mayor evolución ha sido la velocidad y precisión de las amenazas de phishing, mediante el uso de kits de phishing, automatización y tecnologías basadas en inteligencia artificial”, dijo Economos. “Estas plataformas permiten que incluso los atacantes con menos habilidades lancen campañas a gran escala y tengan la capacidad de crear rápidamente correos electrónicos de phishing más convincentes para evadir la detección de las herramientas de seguridad tradicionales”.
Economos también destacó el aumento de los pretextos (en los que un ciberdelincuente investiga y se hace pasar por un personaje para proporcionar una historia convincente o un “pretexto” para engañar a la víctima de phishing), así como el compromiso del correo electrónico empresarial, como factores importantes en la evolución del phishing. panorama de amenazas.
“A medida que nuestras superficies de trabajo continúan diversificándose, los actores de amenazas están diversificando los vectores que explotan más allá del correo electrónico, apuntando a plataformas de redes sociales, herramientas de colaboración como Microsoft Teams, Slack y OneDrive hasta ataques de vishing y smishing mediante llamadas telefónicas o mensajes de texto para engañar. víctimas”, afirmó.
