Los piratas informáticos han encontrado otro servicio basado en la nube que pueden utilizar para eludir la protección del correo electrónico y enviar correos electrónicos de phishing directamente a las bandejas de entrada de las personas.
La semana pasada, investigadores de seguridad de Cisco Talos informaron haber observado archivos maliciosos creados en plataformas de publicación de documentos digitales (DDP), como Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo y SimpleBooklet. Estas plataformas permiten a los usuarios crear flipbooks interactivos a partir de archivos PDF.
Los piratas informáticos crearían innumerables cuentas de prueba gratuitas y las utilizarían para generar flipbooks que contienen enlaces a páginas de destino maliciosas. Luego utilizan las plataformas para distribuir los documentos a sus víctimas.
Archivos maliciosos con fecha de caducidad
Dado que los correos electrónicos provendrían de una fuente legítima y confiable, la mayoría de ellos pasarían las puertas de seguridad del correo electrónico y llegarían a las bandejas de entrada de las personas. Las víctimas también podrían sentirse inclinadas a abrir los documentos, dada la confiabilidad percibida del remitente.
«Alojar señuelos de phishing en sitios DDP aumenta la probabilidad de un ataque de phishing exitoso, ya que estos sitios a menudo tienen una reputación favorable, es poco probable que aparezcan en las listas de bloqueo de filtros web y pueden infundir una falsa sensación de seguridad en los usuarios que los reconocen como familiares o legítimo», afirmó el investigador de Cisco Talos, Craig Jackson.
Otra ventaja de los sitios DDP radica en el hecho de que los archivos alojados allí tienen una fecha de caducidad y se eliminan después de un tiempo. Eso dificulta el análisis, ya que cuando se notifica a los investigadores de seguridad, los archivos ya han desaparecido.
El objetivo de la campaña, explicaron además los investigadores, es cosechar microsoft Credenciales de 365, ya que los enlaces en los archivos del flipbook suelen conducir a páginas de inicio de sesión falsas de Microsoft 365.
Los piratas informáticos que abusan del software como servicio (SaaS) para enviar correos electrónicos de phishing no es nada nuevo. Incluso GoogleSe abusó de la propia suite de productividad de Workspace, ya que los archivos Docs, por ejemplo, se pueden compartir con muchos destinatarios directamente a través de la plataforma.