Un grupo de atacantes ha comprometido cuentas en la plataforma de entrega de correo electrónico SendGrid y las está utilizando para lanzar ataques de phishing contra otros clientes de SendGrid. Es probable que la campaña sea un intento de recopilar credenciales para un servicio de correo electrónico masivo con buena reputación que ayudaría a los atacantes a eludir los filtros de spam en otros ataques.
“La campaña observada utiliza una variedad de señuelos complejos, como afirmar que la cuenta de la víctima ha sido suspendida mientras se revisan sus prácticas de envío o que la cuenta de la víctima está marcada para ser eliminada debido a una falla de pago reciente, combinada con otras características de SendGrid para enmascarar la destino real de cualquier enlace malicioso”, dijeron investigadores de la firma de inteligencia de amenazas Netcraft en un nuevo informe.
SendGrid es una plataforma de entrega de correo electrónico basada en la nube propiedad de Twilio. Ayuda a las empresas a ejecutar campañas de marketing por correo electrónico a escala con una alta tasa de entrega y análisis. La compañía afirma tener más de 80.000 clientes, incluidas marcas populares como Uber, Spotify, AirBnB y Yelp. «Dado que incluso las empresas legítimas a veces tienen dificultades para enviar correos electrónicos a las bandejas de entrada de los usuarios con éxito, es fácil ver cómo el uso de SendGrid para campañas de phishing resulta atractivo para los delincuentes», dijeron los investigadores de Netcraft.
Enlaces de phishing enmascarados por la función de seguimiento de clics
Los correos electrónicos de phishing disfrazados de notificaciones de SendGrind se enviaron a través de los servidores SMTP de SendGrind, pero las direcciones de correo electrónico en su campo De eran de otros dominios, no de sendgrid.com. Esto se debe a que los atacantes utilizaron los nombres de dominio que los clientes comprometidos de SendGrid habían configurado para poder enviar correos electrónicos a través de la plataforma para sus propias campañas.
Netcraft observó al menos nueve de estos dominios pertenecientes a empresas de una variedad de industrias que incluyen alojamiento en la nube, energía, atención médica, educación, propiedad, contratación y publicaciones. Debido a que esos dominios se habían configurado para usar SendGrid para la entrega de correo electrónico, los correos electrónicos de phishing pasaron todas las funciones de seguridad anti-spoofing habituales, como DKIM y SPF, ya que esos dominios tenían configuradas las políticas DNS correctas. «El uso de cuentas SendGrid comprometidas explica por qué SendGrid es el objetivo de la campaña de phishing: los delincuentes pueden usar las cuentas comprometidas para comprometer más cuentas de SendGrid en un ciclo, proporcionándoles un suministro constante de nuevas cuentas de SendGrid», dijeron los investigadores de Netcraft.
Aparte de las direcciones sospechosas en el campo De, hay poco más que haga que los correos electrónicos fraudulentos parezcan no auténticos para el destinatario. El enlace detrás del botón incluido en el correo electrónico se enmascara mediante la función de seguimiento de clics de SendGrid. Esto significa que la URL apunta a un script alojado en sendgrid.net, que luego realiza una redirección a la página de phishing configurada por los atacantes. Sin embargo, la URL de la página de phishing se pasa al script SendGrid como un parámetro codificado, por lo que no es visible para el usuario como texto sin cifrar cuando pasa el cursor sobre el botón.