Campaña de phishing avanzada afectaría a usuarios de Microsoft OneDrive en entidades del gobierno mexicano
.jpg)
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
La unidad de investigación de SILIKN ha reportado una campaña de phishing altamente sofisticada dirigida a los usuarios de Microsoft OneDrive del gobierno de México. Esta campaña emplea avanzadas tácticas de ingeniería social para engañar a los usuarios y hacer que ejecuten un script de PowerShell, comprometiendo así sus sistemas.
El ataque se inicia con un correo electrónico que contiene un archivo HTML, el cual incita a los empleados del gobierno a solucionar un problema de DNS para acceder a un archivo en OneDrive.
Al abrir el archivo HTML, los usuarios encuentran una imagen que imita una página de OneDrive, mostrando un mensaje de error relacionado con un problema de DNS y ofreciendo dos botones: “Detalles” y “Cómo solucionarlo”. Al hacer clic en “Detalles”, los usuarios son redirigidos a una página legítima de Microsoft Learn sobre la resolución de problemas de DNS. No obstante, al seleccionar “Cómo solucionarlo”, se ejecuta una función de JavaScript dentro del archivo HTML, que guía a los usuarios a abrir la terminal de Windows PowerShell y ejecutar un comando específico.
Al ejecutarse, el comando vacía la caché de DNS y crea una carpeta llamada “descargas” en la unidad C:. Luego, descarga un archivo, extrae su contenido y ejecuta un script. Esta secuencia de acciones ilustra cómo los atacantes emplean procesos aparentemente legítimos para engañar a los usuarios y comprometer sus sistemas.
La combinación de terminología técnica y mensajes de error urgentes es una táctica clásica de ingeniería social, diseñada para manipular las emociones del usuario y provocar acciones apresuradas sin una reflexión cuidadosa.
En este sentido, los atacantes manipulan eficazmente a los usuarios para que ejecuten el script malicioso al decodificar cadenas en Base64 y copiar comandos al portapapeles.
El impacto de un ataque de este tipo podría ir mucho más allá de las violaciones de datos individuales, resultando en un compromiso generalizado de la red, pérdida significativa de información reservada y confidencial y graves daños a la reputación.
Por lo tanto, las entidades gubernamentales deben mantenerse vigilantes, proporcionando educación continua a su personal y reforzando las medidas de seguridad para protegerse contra ataques tan sofisticados.
Algunas de las dependencias gubernamentales que presentan vulnerabilidades ante este tipo de ataque, y por lo tanto están en alto riesgo, son:
- Universidad Rosario Castellanos de la Ciudad de México
- Secretaría de Educación de Veracruz
- Consejo Nacional de Normalización y Certificación de Competencias Laborales
- Gobierno Municipal de Chihuahua
- Autoridad Educativa Federal en la Ciudad de México
- Suprema Corte de Justicia de la Nación
- Secretaría de la Función Pública de Zacatecas
- Nueva Escuela Mexicana Digital
- Centro de Investigación y de Estudios Avanzados del Instituto Politécnico Nacional
- Instituto Politécnico Nacional
- Gobierno del Estado de Quinana Roo
- Gobierno del Estado de Tabasco
Para más información, visite: https://www.silikn.com/