Los piratas informáticos persiguen a profesionales altamente posicionados, incluidos altos ejecutivos, con ataques dirigidos de phishing y apropiación de cuentas en la nube, según afirma una nueva investigación.
Un informe de Proofpoint perfila una nueva campaña para llegar a un compromiso microsoft Entornos Azure y cuentas en la nube desde finales de noviembre de 2023.
Se vio que los actores de amenazas anónimos estaban distribuyendo señuelos de phishing individualizados dentro de documentos compartidos. Algunos de los documentos, afirman los investigadores, incluyen enlaces incrustados para «Ver documento» que simplemente redirigen a las víctimas a una página de phishing maliciosa que roba las credenciales de inicio de sesión de las personas.
Robar datos y cubrir sus huellas
Si bien los piratas informáticos parecen estar lanzando una red relativamente amplia, todavía persiguen a los gerentes y a la alta dirección, con objetivos frecuentes como directores de ventas, gerentes de cuentas y gerentes financieros, y personas que ocupan puestos ejecutivos como «vicepresidente de operaciones». ”, «Director financiero y tesorero» y «Presidente y director ejecutivo».
Si logran violar los entornos de nube de sus objetivos, los piratas informáticos hacen varias cosas, desde configurar su propia autenticación multifactor hasta mantener la persistencia y exfiltrar datos. En algunos casos, también utilizan su posición para participar en compromisos de correo electrónico empresarial (BEC) y realizar fraudes electrónicos, enviando solicitudes de pago a los departamentos de recursos humanos y finanzas.
Finalmente, establecen diferentes reglas de buzón para cubrir sus huellas y borrar cualquier evidencia de su presencia en la red de destino.
Si bien la infraestructura de los piratas informáticos incluía «varios servidores proxy, servicios de alojamiento de datos y dominios secuestrados», también utilizaron ISP locales de línea fija, lo que dio a los investigadores una pista sobre su ubicación. Algunas de estas fuentes no proxy incluyen ‘Selena Telecom LLC’, con sede en Rusia, y los proveedores nigerianos ‘Airtel Networks Limited’ y ‘MTN Nigeria Communication Limited’, lo que llevó a Proofpoint a suponer que los atacantes podrían ser de origen ruso y nigeriano.
Sin embargo, vale la pena mencionar que Proofpoint aún no ha atribuido esta campaña a ningún actor de amenazas en particular.