Las nuevas herramientas de Square quieren ayudar a su pequena
La nueva campaña de phishing por correo electrónico ve a los actores maliciosos abusar de una vulnerabilidad en el sistema de correo electrónico de Craigslist para distribuir malware.

Según el informe de INKY, un actor malicioso (o varios actores) comprometió con éxito el sistema de mensajería de Craigslist y comenzó a enviar notificaciones a los usuarios activos de la plataforma. La notificación por correo electrónico, un mensaje simple que contiene solo unas pocas oraciones y un botón, advirtió al usuario que su anuncio reciente incluía contenido inapropiado y violaba los términos de Craigslist.

El botón del correo electrónico pretende redirigir al lector a la plataforma para solucionar el problema. Sin embargo, solo necesita pasar el mouse sobre el botón para revelar el enlace real – un dominio ruso – myjino[.]ru.

Abuso de sitios de alojamiento legítimos

Si la víctima intenta solucionar el problema siguiendo las instrucciones del correo electrónico y haciendo clic en el enlace del mensaje, se enviará a un documento personalizado, subido a Microsoft OneDrive. Entonces, en esta campaña, se abusó de un servicio de alojamiento legítimo para albergar un archivo malicioso.

Luego se invitó a las víctimas a descargar este archivo, completar el formulario y devolverlo a [email protected]

Al hacer clic en el botón de descarga, la víctima recibiría un archivo comprimido llamado «form_1484004552-10012021.zip». Al descomprimirlo, obtienen una hoja de cálculo, con las macros habilitadas, llamada «form_1484004552-10012021.xls». Varios proveedores de seguridad ya han informado de que este archivo es malicioso.

Para aumentar la «legitimidad» del documento, los actores maliciosos también agregaron los logotipos de DocuSign, Norton y Microsoft. Al ejecutar el malware en un entorno de caja de arena, los investigadores dijeron que «crea y modifica» varios archivos. El malware también intentó conectarse a un servidor externo para descargar componentes adicionales o posiblemente para exfiltrar datos. Sin embargo, los intentos recibieron un error «404 no encontrado».

¿Quiere mantenerse seguro en línea? También debería echar un vistazo a nuestro resumen de los mejores servicios de protección contra ransomware disponibles en la actualidad.

Share This