CSIRT Asobancaria

Ataque de phishing alojado en Google Firebase.

  • Publicado: 06/02/2021
  • Importancia: Media

Recursos afectados

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado “AVISO DE TRANSFERENCIA DE PAGO DE FACTURA” o “TRANSFER OF PAYMENT NOTICE FOR INVOICE”.

 

El cuerpo del mensaje contiene un enlace que redirige a la nube, para realizar la visualización de la supuesta factura. Allí se realiza la descarga de un falso archivo PDF denominado “Notificación de pago”, en seguida, al intentar ingresar al contenido que en realidad es un archivo .HTML, se carga un iframe de Microsoft Office, que presenta en forma de miniatura el archivo de notificación, haciendo que el usuario haga clic para visualizar el contenido. En el momento que el usuario hace clic para ver el archivo, se carga la página de phishing aloja en Google Firebase, la cual solicita ingresar el correo electrónico, la contraseña y número de teléfono o mail alternativo. De esta forma los cibercriminales realizan la recopilación de datos confidenciales de las víctimas.

 

Algunas de las características de esta campaña son las siguientes:

 

  • Suplantación de marca del portal de Office 365.
  • Asignación de un nivel de confianza de correo no deseado (SCL) de '1', razón por la cual el mensaje de correo llegó satisfactoriamente a las bandejas de entrada, dado que no fue calificado como malicioso.
  • Uso de ingeniería social con mensajes referentes a situaciones del día a día y de gran urgencia como lo son detalles de pago.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas