wmtech logo

Los hackers están explotando sitios populares de publicación de documentos para llevar a cabo ataques de phishing

Luis Quiles
Luis Quiles
phishing 1
Seguridad de email, Ingeniería social

«Los actores de amenazas están aprovechando los sitios de publicación de documentos digitales (DDP) alojados en plataformas como FlipSnack, Issuu, Marq, Publuu, RelayTo y Simplebooklet para llevar a cabo ataques de phishing, recolección de credenciales y robo de tokens de sesión, subrayando una vez más cómo los actores de amenazas están reutilizando servicios legítimos para fines maliciosos.

«Alojar señuelos de phishing en sitios de DDP aumenta la probabilidad de un ataque de phishing exitoso, ya que estos sitios a menudo tienen una reputación favorable, es poco probable que aparezcan en listas de bloqueo de filtros web y pueden inculcar un falso sentido de seguridad en los usuarios que los reconocen como familiares o legítimos», dijo el investigador de Cisco Talos, Craig Jackson, la semana pasada.

Si bien los adversarios han utilizado servicios en la nube populares como Google Drive, OneDrive, Dropbox, SharePoint, DocuSign y Oneflow para alojar documentos de phishing en el pasado, el último desarrollo marca una escalada diseñada para evadir los controles de seguridad de correo electrónico.»

«Los servicios de DDP permiten a los usuarios cargar y compartir archivos PDF en un formato interactivo de libro digital en el navegador, añadiendo animaciones de volteo de páginas y otros efectos escenomorfos a cualquier catálogo, folleto o revista.

Se ha descubierto que los actores de amenazas abusan del nivel gratuito o de un período de prueba sin costo ofrecido por estos servicios para crear múltiples cuentas y publicar documentos maliciosos.

Además de explotar la reputación favorable de sus dominios, los atacantes aprovechan el hecho de que los sitios de DDP facilitan el alojamiento temporal de archivos, permitiendo que el contenido publicado automáticamente no esté disponible después de una fecha y hora de vencimiento predefinidas.»

docs

Además, las características de productividad integradas en sitios de DDP como Publuu podrían actuar como un disuasivo, previniendo la extracción y detección de enlaces maliciosos en mensajes de phishing.

En los incidentes analizados por Cisco Talos, los sitios de DDP están integrados en la cadena de ataque en la etapa secundaria o intermedia, típicamente al incrustar un enlace a un documento alojado en un sitio de DDP legítimo en un correo electrónico de phishing.

El documento alojado en DDP sirve como un portal a un sitio externo controlado por el adversario, ya sea directamente haciendo clic en un enlace incluido en el archivo señuelo, o a través de una serie de redirecciones que también requieren resolver CAPTCHAs para frustrar los esfuerzos de análisis automatizado.

La página final de destino es un sitio falso que imita la página de inicio de sesión de Microsoft 365, lo que permite a los atacantes robar credenciales o tokens de sesión.

«Los sitios de DDP podrían representar un punto ciego para los defensores, porque son desconocidos para los usuarios capacitados y poco probables de ser detectados por los controles de filtrado de correo electrónico y contenido web», dijo Jackson.

«Los sitios de DDP crean ventajas para los actores de amenazas que buscan frustrar las protecciones de phishing contemporáneas. Las mismas características y beneficios que atraen a usuarios legítimos a estos sitios pueden ser abusados por los actores de amenazas para aumentar la eficacia de un ataque de phishing.»

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.