Cisco y Microsoft, sin querer, facilitaron a delincuentes: cómo servicios de confianza pasaron a formar parte de un esquema de hackeo
Delincuentes construyen un laberinto para robar la contraseña de un profesiona
Intentaron entregar a la persona responsable de una empresa sueca de ciberseguridad un correo que parecía impecable incluso para un especialista experimentado. El ataque estaba tan bien planificado que atravesó una cadena de servicios de confianza y parecía una correspondencia de trabajo habitual.
El objetivo fue el alto ejecutivo de la empresa Outpost24. Sobre el intento informó la filial Specops Software. Los especialistas detectaron el ataque en una fase temprana y lo bloquearon antes de que los atacantes pudieran acceder a sistemas o datos.
El correo se hizo pasar por un mensaje de la institución financiera JPMorgan Chase y parecía parte de una correspondencia ya existente. Se pedía al destinatario que abriera un documento y lo firmara. Para eludir las comprobaciones, los atacantes añadieron dos firmas digitales DKIM, lo que permitió que el correo superara las verificaciones de autenticidad y no despertara sospechas en los sistemas de correo.
El enlace dentro del correo no apuntaba a un sitio sospechoso, sino a un dominio legítimo de Cisco. Se trataba de un servicio que reescribe y verifica los enlaces en el correo corporativo. Dado que el enlace superaba la comprobación, el redireccionamiento se realizaba a través de la infraestructura de Cisco, lo que ayudó a evadir los mecanismos de defensa.
A continuación la cadena se complicaba. Al usuario lo redirigían a través de la plataforma de interfaces de correo Nylas, luego a un subdominio del sitio de una empresa desarrolladora india y, después, a un dominio con una historia peculiar. El dominio fue registrado originalmente en 2017 a nombre de una organización china, pero en marzo su certificado expiró, se liberaron los registros DNS y, pocos días después, la dirección fue registrada de nuevo y de inmediato se emitieron nuevos certificados. Esa secuencia sugiere que el dominio fue preparado específicamente para el ataque.
La etapa final tuvo lugar en una infraestructura protegida por Cloudflare. Antes de mostrar la página, el sistema comprobaba el navegador del usuario, probablemente para descartar el análisis automatizado. Tras la comprobación se abría una página de acceso falsa a Microsoft 365 con una animación de carga verosímil al estilo de Outlook. La página no solo recopilaba las credenciales, sino que intentaba verificarlas inmediatamente mediante un inicio de sesión real en el servicio.
Todo el esquema encajaba en un complejo ataque multietapa que, según Specops, podría haberse llevado a cabo con un paquete denominado Kratos que ofrece 'phishing como servicio'. No se pudo identificar un grupo concreto, pero los métodos empleados coinciden con los enfoques que anteriormente utilizaban estructuras relacionadas con Irán. Además, técnicas similares son cada vez más utilizadas por otros grupos, por lo que todavía no se ha podido establecer una atribución precisa.