Forcepoint investigadores han dado a conocer una nueva corriente de ataques que implican onedrive de Microsoft para negocios. Los criminales cibernéticos están recibiendo malware en el servicio a atacar enlaces en correos electrónicos que se envían a continuación a los usuarios.
Los investigadores dicen que:
(...) ciberdelincuentes han comenzado a utilizar onedrive comprometida para cuentas de negocios para la celebración de software malicioso, al menos desde agosto de este año. Una Drive for Business es un servicio de Microsoft pagado por las empresas donde los empleados pueden almacenar y compartir archivos. Cada empleado registrado tiene una URL personal llamado “Mi sitio” donde los archivos relacionados con el trabajo pueden ser subidos y compartidos, incluso a las partes externas. A continuación se muestra el formato de un URL MySite:
- https://{nombre de dominio de negocio}-my.sharepoint.com/personal/{Nombre de usuario empleado}_{nombre de dominio de negocio}/
Empleado MySite cuentas comprometidas y desplegado para cargar malware
Los enlaces de descarga generados se añaden en las campañas de correo masivo. Aquí está un ejemplo de un correo electrónico:
Es obvio que un dominio de Microsoft se aprovecha porque parece digno de confianza y los usuarios pueda confiar en los enlaces y proceder con la descarga de los archivos adjuntos.
Los investigadores de seguridad dicen que el malware se distribuye en esta campaña provienen de familias como la Dridex y Ursnif, o dos grandes troyanos bancarios. Los archivos adjuntos se distribuyen en forma de archivos ejecutables o archivos con un programa de descarga de JavaScript en el interior. Actualmente, usuarios de Australia y el Reino Unido están en la mira, pero otros países también pueden añadirse.
Relacionado: Cyber-misma cuadrilla Detrás Dridex, Locky y CryptoWall
Sin embargo, los investigadores no pudieron llegar a la conclusión de cómo los atacantes lograron comprometer onedrive para cuentas comerciales. Este nuevo tipo de ataques, seguido de distribución de malware sólo muestra que no sólo los usuarios domésticos en situación de riesgo, sino también a las empresas.
Estos ataques pueden ser extremadamente perjudicando a las empresas ya que los hackers maliciosos pueden obtener acceso a los datos privados almacenados en cuentas comerciales. El acceso a los diferentes activos de negocios y contactos también es muy posible, los investigadores advierten.
La conclusión
Los ataques a los servicios de almacenamiento en la nube en línea es una manera muy eficaz para los ciberdelincuentes para distribuir malware. Como esta táctica de ataque ya está siendo reconocida como un modelo repetitivo, los criminales cibernéticos están sin duda en busca de nueva ingeniería social despliega para garantizar el éxito de sus intentos.
El abuso de Microsoft onedrive for Business puede ayudarles en este caso. Dado que se trata de un servicio conocido para las empresas, Otros enlaces de descarga maliciosos alojados por dicha plataforma añade una capa de “confianza” a las víctimas potenciales durante la descarga de un archivo desconocido.
Relacionado: Virlock Ransoware aprovecha la nube para infectar a más usuarios
Como siempre, los usuarios no deben abrir cualquier correo electrónico sospechoso de remitentes desconocidos. Y deben tener una solución anti-malware fuerte instalado en sus sistemas. También, las empresas no deben subestimar el valor de la educación de seguridad cibernética. El despliegue de este tipo de educación es crucial para las empresas modernas.