El equipo de investigación de Mimecast, liderado por Samantha Clarke, ha revelado una nueva amenaza. Se trata de una campaña de robo de credenciales, identificada como MCTO3030. Esta operación, que comenzó en 2022, se caracteriza por su consistencia en tácticas y procedimientos. Además, demuestra una fuerte seguridad operativa. Hasta ahora, ha logrado pasar desapercibida debido a su baja frecuencia.
Reciente análisis – Actualmente, se utiliza el servicio de correo electrónico de Amazon para realizar ataques de phishing dirigidos. Los objetivos son profesionales de IT en posiciones clave. En particular, atacan a directores y personal de seguridad con altos privilegios en entornos de ScreenConnect. El fin es obtener credenciales de superadministrador para controlar completamente el acceso remoto de la organización.
La gravedad de esta campaña radica en su conexión con actividades de ransomware. Estudios recientes de Sophos muestran que los afiliados del grupo Qilin han atacado ScreenConnect de forma similar. Esto sugiere que la recolección de credenciales puede servir como punto de entrada para futuros ataques de ransomware. Las credenciales obtenidas permiten a los atacantes lanzar instancias maliciosas de ScreenConnect en múltiples dispositivos, facilitando un rápido movimiento lateral.
Detalles sobre las tácticas utilizadas
Los delincuentes eligen Amazon SES para enviar correos electrónicos debido a su alta tasa de entrega y bajo costo. A menudo, crean cuentas utilizando credenciales robadas o compradas en mercados ilegales. Esto les permite eludir los filtros de seguridad tradicionales.
Las páginas de phishing emplean técnicas avanzadas de ataque al hombre en el medio (AITM). Utilizan EvilGinx, una herramienta open-source que captura credenciales y códigos de autenticación multifactor (MFA). Este método permite a los atacantes eludir las protecciones modernas y mantener acceso a los cuentas comprometidas.
Desglose de la campaña de phishing
-
Inicialmente, envían correos de phishing a través de cuentas comprometidas de Amazon SES.
-
Utilizan ingeniería social para alertar sobre actividades sospechosas en ScreenConnect.
-
Las víctimas son dirigidas a páginas de inicio de sesión falsas.
-
El framework EvilGinx captura credenciales y tokens MFA en tiempo real.
-
Los atacantes obtienen acceso total a cuentas de superadministrador.
-
Utilizan las credenciales robadas para instalar malware o herramientas adicionales.
Estrategias de defensa recomendadas
Dado el carácter persistente de esta amenaza, es crucial que las organizaciones implementen medidas de seguridad múltiples. Esto incluye controles técnicos robustos y capacitación continua para los empleados. La vigilancia constante también se vuelve esencial para detectar y neutralizar estas amenazas con rapidez.
No subestimes la importancia de la ciberseguridad. Mantente informado y preparado para combatir estas tácticas sofisticadas. La protección de tus datos depende de ello.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
