Carpetas de Microsoft SharePoint/Google Drive como técnica de evasión
2 de agosto de 2024
Qué aprenderá en esta notificación
Mimecast Threat Research ha identificado que los actores de amenazas utilizan SharePoint y Google Drive para compartir archivos que contienen enlaces a sitios maliciosos.
- Utiliza principalmente cuentas de Microsoft 365 comprometidas.
- Las páginas de phishing observadas tienen indicadores relacionados con los kits de phishing de «NakedPages».
- Aumento lento desde principios de marzo, gran pico en abril continuado en mayo.
Mimecast Threat Research ha observado que los actores de amenazas utilizan SharePoint y Google Drive para compartir archivos que contienen enlaces a sitios maliciosos. El señuelo es predominantemente una invitación a una licitación con el objetivo de obtener credenciales a través de un kit de phishing alojado.
A continuación se puede ver un ejemplo de esta campaña, que utiliza una cuenta de O365 comprometida. En la mayoría de los casos, se utilizan dominios de sectores específicos relacionados con el objetivo, lo que aumenta la probabilidad de que el usuario final interactúe con el correo electrónico.
El correo electrónico contiene un enlace «Haga clic aquí para ver el proyecto» que se utiliza para obtener más información sobre la licitación. Al hacer clic en el enlace, los usuarios son redirigidos a una página de carpeta de SharePoint que contiene un archivo, lo cual es inusual, ya que normalmente son los propios «archivos» los que lo hacen único.
El razonamiento detrás de la capa adicional de ofuscación es para evadir las soluciones de seguridad. Además, se puede ver que el señuelo es más legítimo con varios archivos en la carpeta, o para ayudar al actor de la amenaza a gestionar campañas en las que puede utilizar carpetas sin compartir un archivo directo.
En este ejemplo de campaña, se ha creado una carpeta en la página de SharePoint conectada a una empresa real, y el supuesto propietario del archivo está asociado a la misma organización. Una vez dentro de la carpeta, el usuario debe interactuar con la página para acceder al archivo.
Al hacer clic en el archivo, aparece un PDF borroso que solicita al usuario que acceda a un enlace para iniciar sesión en su cuenta de Microsoft y obtener acceso al archivo.
Las páginas de phishing tienen una estructura de URL similar a hxxps://[NOMBRE].[store/online/site]/?[8 caracteres], que se ha observado en páginas de phishing compradas en «NakedPages». En algunas de las campañas se añaden páginas captcha para aumentar el número de interacciones del usuario necesarias para llegar a la página final de phishing, a veces hasta 7. Esta se ha convertido en una técnica utilizada habitualmente por los actores de amenazas para evadir la detección.
Este tipo de técnica no se limita únicamente a los servicios de Microsoft; aquí hay un ejemplo de uno que utiliza Google Drive con un diseño muy similar y una página final de captación de credenciales:
Al investigar el ejemplo de Google Drive, se presentó una página de error que proporciona un poco más de detalle de la campaña donde se observa un fallo de licencia, presumiblemente de «NakedPages».
La información adicional de la página hace referencia a nkp.relay-proxy-i2p.com. I2P, que es una capa de red centrada en la privacidad para la comunicación anónima. Sugiere que la página de phishing intentaba conectarse a un relé o proxy I2P, probablemente para exfiltrar datos o comunicarse de forma anónima.
Una investigación más profunda revela que nkp.relay-proxy-i2p.com solo ha estado activo recientemente y que resuelve a FlokiNET. FlokiNET es un proveedor de alojamiento web conocido por ofrecer servicios con fuerte énfasis en la privacidad y la libertad de expresión, a menudo utilizado por activistas y periodistas, pero los actores de amenazas también aprovechan estos servicios. Mimecast ha observado un cambio reciente en el alojamiento que indica que los actores de amenazas rotan más su infraestructura para evitar la detección y los procesos de desmantelamiento.
Los servidores de nombres de nkp.relay-proxy-i2p.com son de Njalla, lo que proporciona otro punto interesante. Njalla, que es un servicio de registro de dominios que hace hincapié en la privacidad y el anonimato, protege la identidad de los propietarios de dominios. Lo hace actuando como intermediario entre el registrador y el propietario del dominio, registrando el dominio en su nombre y manteniendo oculta la información personal.
Destinatarios
Global, todas las industrias
IOC
Sitios de captura de credenciales
- hxxps://esthereiahdhd.store/?ubzveppo
- hxxps://noticebidproject.online/?xptjjunz
- hxxps://ncosulteng.store/?lzbcqrww
- hxxps://elbenchaesn.store/?oyhbewrx
Líneas de asunto (existen múltiples variaciones)
- INVITACIÓN A LICITAR: Northwest Line Builders LLC . . .-- N.º de proyecto: 21-1161L 1912
- INVITACIÓN A LICITAR: CONSTRUCTION TESTING SERVICES, LLC . . .-- N.º de proyecto: 21-1161L 1912
- INVITACIÓN A LICITAR: N.º de proyecto: 21-1161L. Soluciones de gas para planta de agua de infraestructura
- INVITACIÓN A LICITAR: Balcones Resources Inc. . .-- N.º de proyecto: 21-1161L 1912
