 |
Microsoft advierte que los atacantes han descubierto una nueva forma de evitar la detección en ataques de compromiso de correo electrónico empresarial (BEC) y toma de cuentas al comprar direcciones IP generadas localmente para enmascarar el origen de sus intentos de inicio de sesión, eludiendo así la detección de seguridad de "viajes imposibles". |
Un "viaje imposible" ocurre cuando una tarea se realiza en dos ubicaciones en un tiempo más corto del que se requeriría para viajar de una ubicación a la otra. Sin embargo, enmascarar la dirección IP de origen real desde la cual se realiza una tarea maliciosa proporciona "la capacidad y oportunidad para que los ciberdelincuentes recopilen grandes volúmenes de credenciales comprometidas y accedan a cuentas" desde cualquier lugar, escribieron los investigadores de Microsoft en una publicación de blog.
Los actores de amenazas están utilizando una combinación de plataformas como BulletProftLink, un servicio para crear campañas de correo electrónico maliciosas a gran escala, y servicios de IP residenciales para ayudarles a evadir la detección, revelaron los investigadores de seguridad de Microsoft.
BulletProftLink vende un servicio integral que incluye plantillas, alojamiento y servicios automatizados para cometer BEC, ofreciendo esencialmente "ciberdelincuencia como servicio" (CaaS). El abuso de direcciones IP residenciales permite mayores volúmenes de ataques BEC, advirtieron los investigadores. Por ejemplo, un proveedor de servicios de IP tiene 100 millones de direcciones IP que pueden rotarse o cambiarse cada segundo.
Según Microsoft, ahora los atacantes de BEC pueden ocultar sus movimientos, eludir las señales de "viajes imposibles" y abrir una puerta de entrada para llevar a cabo más ataques, ya que cuentan con un espacio de dirección localizado para respaldar sus actividades maliciosas, además de nombres de usuario y contraseñas. Señalaron que los actores de amenazas en Asia y Europa del Este son los que más frecuentemente emplean esta táctica.
La advertencia se produce en medio de un aumento en el número de campañas de BEC. De hecho, el FBI informó que en 2022 registró más de 21,000 quejas de BEC, con pérdidas ajustadas de más de $2.7 mil millones. Microsoft indicó que casi todas las formas de ataques BEC están en aumento, y los señuelos más utilizados en las campañas de ingeniería social incluyen temas de nómina, facturas, tarjetas de regalo e información comercial.
"En lugar de explotar vulnerabilidades en dispositivos sin parchear, los operadores de BEC buscan aprovechar el flujo diario de correos electrónicos y otros mensajes para engañar a las víctimas y obtener información financiera, o realizar acciones directas como enviar fondos a cuentas de mulas de dinero, que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas", escribieron los investigadores .
Fuente: https://www.darkreading.com/endpoint/microsoft-bec-attackers-evade-impossible-travel-residential-ip-addresses, https://www.microsoft.com/en-us/security/business/security-insider/reports/cyber-signals/shifting-tactics-fuel-surge-in-business-email-compromise/