Se ha surgido una sofisticada campaña de recolección de credenciales para dirigir a los administradores de nubes de capas de capas con ataques de phishing de lanza diseñados para robar credenciales de super administrador.
La operación en curso, designada MCTO3030, ha mantenido tácticas consistentes desde 2022 mientras opera en gran medida sin ser detectado a través de estrategias de distribución de bajo volumen que envían hasta 1,000 correos electrónicos por ejecución de campaña.
La campaña se dirige específicamente a profesionales de TI de alto rango, incluidos directores, gerentes y personal de seguridad que posee privilegios elevados en entornos de captura de pantalla.
Alerta de inicio de sesión (fuente – Mimecast)
Los atacantes aprovechan las cuentas de servicio de correo electrónico simples de Amazon para entregar correos electrónicos de phishing convincentes que reclaman una actividad de inicio de sesión sospechosa de direcciones IP inusuales o ubicaciones geográficas, creando urgencia para provocar acciones inmediatas de las víctimas.
Analistas de Mimecast identificado Esta amenaza persistente como particularmente preocupante debido a su aparente conexión con las operaciones de ransomware, con una investigación que indica patrones de orientación similares por los afiliados de ransomware de Qilin.
Las credenciales súper administrativas cosechadas sirven como vectores de acceso iniciales para la implementación de ransomware posterior, lo que permite a los atacantes empujar a los clientes de captura de pantalla maliciosa a múltiples puntos finales simultáneamente.
La campaña emplea dominios de nivel superior de código de país con convenciones de nomenclatura con temas screenconnect, incluidos dominios como Connectwise.com.ar, Connectwise.com.be y Connectwise.com.cm para crear suplantaciones convincentes de portales legítimos de Connectwise.
Páginas de phishing (fuente – Mimecast)
Una vez que las víctimas hacen clic en el botón “Revisar la seguridad” en los correos electrónicos de phishing, se redirigen a las sofisticadas páginas de inicio de sesión falsas que imitan estrechamente las interfaces auténticas de captura de pantalla.
Técnicas avanzadas de adversario en el medio
La sofisticación técnica de esta campaña se centra en su implementación del phishing adversario en el medio utilizando el marco EvilGinX, una herramienta de código abierto diseñada específicamente para interceptar tanto las credenciales como los códigos de autenticación de múltiples factores en tiempo real.
Esta capacidad permite a los atacantes evitar las protecciones de autenticación modernas en las que muchas organizaciones confían para la seguridad.
El marco EvilGinX opera posicionándose entre la víctima y el servicio de autenticación legítimo, capturando las credenciales de inicio de sesión al tiempo que reenvía las solicitudes de autenticación al portal de capas de capas reales.
Esta técnica permite la recolección de tokens MFA sensibles al tiempo, lo que permite a los atacantes mantener el acceso persistente a cuentas comprometidas incluso cuando se habilita la autenticación multifactor.
El uso constante de la infraestructura de Amazon SES proporciona altas tasas de entrega al tiempo que evita los controles tradicionales de seguridad de correo electrónico a través de servicios de nube confiables, lo que demuestra la sofisticación operativa de la campaña y la planificación estratégica a largo plazo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
