Hackers que ejecutaron un ataque de phishing por más de seis meses olvidaron proteger las credenciales de autenticación robadas a miles de usuarios. En consecuencia, quedaron expuestas en la internet pública. Los nombres de usuario y contraseñas de las víctimas fueron indexados por Google.

Las firmas de ciberseguridad Check Point y Otorio descubrieron el modus operandi de los hackers. Los atacantes montaron una efectiva campaña de manipulación con la que lograron vulnerar los filtros de correo electrónico. Gracias a ello se hicieron con más de 1.000 credenciales de inicio de sesión de cuentas corporativas de Microsoft Office 365.

Un ataque sencillo, pero efectivo

Los hackers enviaron miles de correos electrónicos fraudulentos en los que se invitaba a la víctima a acceder a un documento escaneado en formato HTML. Para conseguir un mejor resultado, incluyeron el nombre de la empresa objetivo en el asunto; seguido de «Notification | via Xeros Scanner«.

Crédito: CheckPoint

Si el usuario caía en la trampa y descargaba un archivo adjunto en su ordenador, se mostraba un ventana con un documento borroso. Para acceder a él, se le solicitaba a la víctima que iniciara sesión con su cuenta de Microsoft Office 365. Para evitar sospechas, los hackers autocompletaban el correo electrónico y se solicitaba solo la contraseña.

Un código JavaScript que corría en segundo plano era el encargado de validar las contraseñas y enviarlas a los servidores de los hackers. Y con el fin de no ser descubiertos, automáticamente la víctima era redirigida a una página de inicio de sesión legítima.

Crédito: CheckPoint

De acuerdo al informe publicado por CheckPoint, los hackers también comprometieron la seguridad de servidores legítimos de WordPress. Desde el CMS los atacantes montaron las páginas PHP utilizadas para engañar a las víctimas. Este conjunto de técnicas logró sobrepasar con éxito el sistema Microsoft Office 365 Advanced Threat Protection (ATP). Lo más preocupante es que ocurrió durante seis meses.

Los nombres de usuario y contraseñas robados fueron almacenados en una serie de dominios registrados específicamente para esa tarea. Sin embargo, los hackers cometieron un error y los dejaron visibles a los los robots «web crawler» de Google. Debido a esto fueron indexados y quedaron disponibles para cualquier usuario.

Ahora en Hipertextual

Suscríbete gratis a Hipertextual

Estamos más ocupados que nunca y hay demasiada información, lo sabemos. Déjanos ayudarte. Enviaremos todas las mañanas un correo electrócnio con las historias y artículos que realmente importan de la tecnología, ciencia y cultura digital.