Seguridad
Defensa contra el malware
Tener una sólida estrategia de defensa contra el malware es fundamental para cualquier empresa que quiera evitar el tiempo de inactividad.
admin
febrero 7, 2023
Dado que las organizaciones utilizan cada vez más productos de seguridad para proteger su correo electrónico de mensajes, archivos adjuntos y enlaces maliciosos, los intentos de phishing han tenido que volverse más sofisticados. Este es un proceso continuo en el que los atacantes desarrollan nuevas técnicas que les ayudan a evadir las soluciones de seguridad del correo electrónico para llegar a sus objetivos de usuarios finales.
Recientemente nos encontramos con un correo electrónico de phishing capturado por Datto SaaS Defense que utilizaba múltiples técnicas de evasión, cada una dirigida a un mecanismo de detección diferente. Estas técnicas, cuando se combinaron juntas, le permitieron eludir muchas soluciones de seguridad de correo electrónico.
En esta publicación de blog, lo guiaré a través de las diferentes técnicas de evasión utilizadas en este ataque, explicaré por qué ayudan a que el ataque pase desapercibido y sugeriré cómo podrían identificarse.
El correo electrónico en sí atrae al usuario para que haga clic en un enlace al informarle que su contraseña de Office 365 está a punto de caducar. El usuario hace clic en el enlace para actualizar su contraseña y llegar a esta página web falsa de inicio de sesión de Microsoft:
Fíjese bien en esta página web. Hay varias técnicas de evasión que hacen que esta página no parezca sospechosa para las soluciones de seguridad de correo electrónico.
El favicon (el icono en la pestaña del navegador) es un poco diferente al actual favicon de Microsoft. El atacante cambió las fichas rojas y amarillas y usó blanco en lugar de negro para el borde.
A la izquierda: el favicon falso de Microsoft; a la derecha: el verdadero favicon de Microsoft
Esto podría causar errores de coincidencia de plantillas (un método utilizado por las soluciones de seguridad para identificar páginas web de phishing), especialmente si no se usa una escala de grises al comparar. Por lo tanto, ayuda a este ataque a evadir los motores de detección de phishing.
El logotipo de Microsoft utilizado en la página web de inicio de sesión falso es ligeramente diferente del logotipo original de Microsoft. Como puede ver en la imagen, el atacante usó una fuente similar pero no idéntica, así como letras en negrita.
A la izquierda: el logo falso; a la derecha: el logotipo real de Microsoft
Esto podría causar errores en la coincidencia de plantillas, suponiendo que el texto de Microsoft esté incluido en la plantilla. Aumentando aún más las posibilidades de que los motores de detección de phishing pasen por alto este ataque.
Puede parecer que la página contiene un formulario normal, pero no usa la etiqueta <form> real en HTML como lo haría un sitio web legítimo de Microsoft. Los atacantes crearon el ‘formulario’ usando etiquetas <div> y CSS para que tuvieran el mismo aspecto, como puede ver en el siguiente código HTML.
Muchos motores de detección de phishing escanearían el HTML en busca de una etiqueta <form> para investigar el formulario y revelar intentos de robo de credenciales. El hecho de que el formulario parezca legítimo hace que la página no sospeche de las víctimas. El hecho de que no haya una etiqueta <form> en el HTML evita que los motores de detección de phishing identifiquen el formulario ilegítimo.
Usar <div> en lugar de un formulario
Algunos motores de detección de phishing escanean la página web en busca de campos que soliciten la contraseña del usuario (por lo general, variaciones de la frase «ingresar contraseña»). Luego investigan estos campos para verificar si son legítimos.
En esta página web de phishing, los atacantes utilizaron imágenes del texto en lugar del texto real cada vez que se escribía la palabra contraseña.
Este es un ejemplo de 3 en la misma página web de phishing donde se usa una imagen del texto ‘ingresar contraseña’ en lugar de usar un formato de texto. Se hizo lo mismo con el ‘marcador de posición’ de la contraseña y el texto ‘olvidé mi contraseña’; ambos son imágenes.
Este método puede permitir que el ataque pase por alto las soluciones de seguridad de correo electrónico que escanean la página web en busca de intentos de phishing, ya que el motor de detección no reconoce la palabra «contraseña» y, por lo tanto, no sospecha que la página se use para la recolección de credenciales.
Otra técnica que pueden usar los motores de detección de phishing es escanear el HTML en busca de campos de entrada, lo que indica que esto podría ser un intento de robo de credenciales. En este caso, los atacantes ocultaron el campo de entrada creando un div vacío con una imagen de fondo que mostraba la palabra contraseña. Esta es otra táctica que ayuda a este ataque de correo electrónico a eludir las soluciones de seguridad de correo electrónico.
La siguiente captura de pantalla muestra que el campo ‘Entrada’ es en realidad un div vacío (con la identificación de ‘spinput’):
El <div> está vacío
Una vez que el usuario hace clic en este div, se crea un nuevo div con la identificación de ‘inpfield’. Este div actúa como un campo de entrada de texto en el que el usuario puede ingresar su contraseña.
Para que esto parezca real para el usuario, hay un marcador de posición con la palabra ‘contraseña’. Para evadir la detección, los atacantes agregaron «» entre las letras de la palabra ‘contraseña’. De esta forma, los motores de detección no encontrarían la palabra ‘contraseña’. Este es un guión suave que es invisible en HTML para que el usuario no sospeche nada.
Observando cuidadosamente, uno puede notar que la palabra contraseña en el campo de ‘entrada’ ha cambiado después de hacer clic de una imagen a un marcador de posición. Así es como se ve después de hacer clic en el campo de contraseña falsa:
El marcador de posición de la contraseña después de hacer clic en él
Por lo general, cuando las páginas web legítimas usan un campo de contraseña, usan <input> con el tipo de contraseña para hacer los puntos negros que no mostrarán el texto en el campo. En este caso, el texto está dentro del <div> y un código JavaScript está cambiando los valores para que sean esos puntos negros que ve el usuario.
El texto está dentro de < div > y los valores se cambian a puntos negros.
Se espera que el phishing siga evolucionando y las soluciones de seguridad deberán mantener el ritmo para evitar que los ataques de phishing eludan sus motores de detección.
Si bien la mayoría de las soluciones de seguridad de correo electrónico dependen de los datos de intentos de phishing conocidos, Datto SaaS Defense adopta un enfoque independiente de los datos. Datto SaaS Defense detecta amenazas de phishing nuevas y desconocidas que otras soluciones pasan por alto al analizar la composición de un correo electrónico, una URL y una página web seguros en lugar de buscar técnicas de phishing conocidas. Esta es la razón por la cual este ataque en particular (así como muchos otros) fue detenido por Datto SaaS Defense pero pasó por alto otras soluciones de seguridad de correo electrónico.
Tener una sólida estrategia de defensa contra el malware es fundamental para cualquier empresa que quiera evitar el tiempo de inactividad.
El malware es un tipo de software diseñado para dañar gravemente o deshabilitar los sistemas informáticos, puede provocar el robo de datos.