LayerX Labs identificó una nueva campaña de phishing de día cero que se hace pasar por notificaciones de seguridad de Microsoft para atraer a las víctimas a que compartan sus credenciales de inicio de sesión y detalles de pago.
El ataque imita una alerta de seguridad de Microsoft Windows Defender, instando a los usuarios a llamar a un número de línea directa, ingresar sus credenciales y realizar el pago al centro de llamadas para "asegurar" su computadora.
Este ataque pudo penetrar los mecanismos de seguridad de red tradicionales, como Secure Web Gateways (SWG) y soluciones Security Service Edge (SSE), porque utiliza una serie de técnicas de evasión diseñadas especialmente para evadir las herramientas de seguridad tradicionales.
En este blog, compartiremos los detalles de este incidente, explicaremos qué lo hace único, explicaremos por qué se escapó de los mecanismos de seguridad tradicionales y cómo puede protegerse usted (y a su organización) contra intentos similares.
El incidente: una estafa de Microsoft Alert
Este ataque se identificó en el entorno de uno de los grandes clientes empresariales de LayerX, donde eludió varias capas de controles de seguridad de red, pero fue bloqueado automáticamente por LayerX antes de que pudiera causar daño.
El ataque emplea una estrategia simple pero efectiva: una página web que se parece a una alerta de Microsoft Windows Defender que afirma que su computadora ha sido infectada con malware.
El mensaje afirma que el dispositivo del usuario fue infectado con malware y le insta a llamar a un número de soporte para obtener asistencia inmediata.
A los usuarios que intentaron salir de la página se les mostró un mensaje que decía que su dispositivo estaba bloqueado y que debían ingresar sus credenciales para iniciar sesión.
En algunos casos que hemos probado, el código de la página pudo provocar que el navegador web se congelara, imitando un bloqueo de seguridad de Microsoft y solicitando nuevamente que llamaran al número falso de ayuda de seguridad.
Este tipo de ingeniería social se aprovecha de la urgencia y la ansiedad de los usuarios desprevenidos. Al simular una emergencia de seguridad, los atacantes instan a los usuarios a actuar de inmediato para que no se tomen el tiempo de analizar la alerta con demasiada atención.
Múltiples capas de riesgo
Los atacantes suelen utilizar tácticas de phishing para engañar a los usuarios y conseguir que compartan información o proporcionen acceso a los sistemas. Sin una detección avanzada, los usuarios podrían haber quedado expuestos al ataque, lo que los pondría en riesgo de:
- Llamando al número directo proporcionado, donde los atacantes podrían manipularlos para que paguen un rescate o les concedan acceso remoto a sus sistemas.
- Ingresar sus credenciales en el sitio de phishing, que los atacantes podrían robar y usar para apoderarse de cuentas.
- La información de sus usuarios se utiliza para ataques más sofisticados o se vende en la web oscura.
Por qué fallaron las defensas convencionales
Muchas organizaciones implementan la solución Secure Web Gateway (SWG) para lidiar con amenazas de navegación y ataques de phishing. Sin embargo, este ataque se detectó en un cliente de LayerX, donde el ataque eludió la SWG de la organización. Esto se debe a que las defensas de la capa de red, como SWG y las puertas de enlace de correo electrónico, generalmente se basan en dos métodos principales:
- Listas de bloqueo de URL maliciosas conocidas
- Firmas de páginas de phishing conocidas
Este ataque pudo eludir ambos por las siguientes razones:
1. Dominio de alojamiento legítimo
Los atacantes alojaron su página de phishing en un dominio de alojamiento legítimo de Microsoft: windows[.]net.
Windows[.]net es una plataforma de Microsoft para que los desarrolladores alojen aplicaciones web .net y Azure. Esto significa que la página de phishing se encontraba en la propia infraestructura de Microsoft. Como resultado, la página disfrutaba de una alta reputación de dominio de nivel superior (TLD).
Esto hizo que pareciera una página legítima de Microsoft para un observador externo y le permitió eludir las defensas tradicionales basadas en URL.
Incluso si una solución de defensa basada en URL identificara actividad maliciosa, normalmente no bloquearía la ULR, ya que bloquear todos los subdominios bajo "windows.net" interrumpiría innumerables servicios legítimos alojados por Microsoft, lo que causaría problemas operativos para las organizaciones.
2. Subdominios aleatorios de hora cero
Los atacantes hicieron uso de subdominios aleatorios para evitar su detección. Los laboratorios LayerX capturaron `pushalm83e.z13.web.core.windows[.]net`. Sin embargo, estas cadenas de dominio se pueden generar fácilmente y rotar con frecuencia.
Esto permite a los atacantes asegurarse de que la página no coincida con ninguna información sobre amenazas existente ni con ninguna lista negra de URL. Esta táctica, a menudo denominada técnica de “hora cero”, permite que los sitios de phishing permanezcan en línea el tiempo suficiente para atrapar a las víctimas antes de que los eliminen y los transfieran a otro subdominio aleatorio.
3. Baja similitud con el kit de phishing
El diseño de la página de phishing era novedoso y no coincidía con las plantillas, los hashes y las firmas existentes que se suelen ver en los kits de phishing. Esto permitió que la página evadiera la detección de las soluciones que se basan en el análisis de similitud de páginas de phishing.
Los controles que se basan únicamente en plantillas y listas de phishing, sin inspeccionar el contenido de la página web en sí, serán eludidos por ataques avanzados y creativos.
Sin embargo, a pesar de estas características, LayerX fue capaz de detectar y bloquear este ataque a tiempo.
¿Por qué LayerX detectó cuando las defensas tradicionales fallaron?
A diferencia de las herramientas de seguridad de red tradicionales, que se basan principalmente en listas de URL maliciosas conocidas, LayerX protege contra el phishing y la ingeniería social aprovechando el filtrado de URL con análisis en tiempo real del comportamiento de la página.
El análisis en tiempo real del contenido web de LayerX no se basa únicamente en la reputación del dominio o en firmas estáticas. En cambio, utiliza una red neuronal impulsada por IA para detectar factores de riesgo en tiempo real, incluso en el caso de ataques nunca antes vistos. Como resultado, cuando la página de phishing intentó solicitar a los usuarios que ingresaran credenciales o llamaran a un número de soporte, la solución de LayerX identificó inmediatamente este intento, lo marcó como sospechoso y bloqueó automáticamente la página, lo que evitó posibles daños.
LayerX es la primera solución que está a la altura del desafío de proteger la superficie de ataque más específica y expuesta en la actualidad (el navegador) sin afectar la experiencia del usuario.
LayerX ofrece protección integral contra todas las amenazas transmitidas por la web con monitoreo continuo, análisis de riesgos y aplicación en tiempo real de cualquier evento y actividad del usuario en la sesión de navegación.
Las empresas aprovechan estas capacidades para proteger sus dispositivos, identidades, datos y aplicaciones SaaS de amenazas web y riesgos de navegación contra los que las soluciones de red y de puntos finales no pueden proteger. Estas incluyen el bloqueo de fugas de datos a través de la web, aplicaciones SaaS y herramientas GenAI, la prevención del robo de credenciales por phishing, la aplicación del acceso seguro a los recursos SaaS por parte de la fuerza laboral interna o externa para mitigar el riesgo de robo de cuentas, el descubrimiento y la desactivación de extensiones de navegador maliciosas, Shadow SaaS y más.
La extensión de navegador LayerX Enterprise se integra de forma nativa con cualquier navegador, convirtiéndolo en el espacio de trabajo más seguro y manejable. Más información.
