Investigadores de Check Point Research y Otorio han descubierto una campaña de phishing a gran escala a través de la cual los cibercriminales han dejado de forma accidental credenciales robadas a disposición del público a través de una búsqueda en Google.
Esta campaña de phishing comenzó el pasado mes de agosto mediante el envío de correos electrónicos que se hacían pasar por notificaciones de escaneado de Xerox. Estos emails incitaban a los usuarios a que abrieran un archivo malicioso adjunto en formato HTML que evadía el filtro de protección avanzada de amenazas (ATP) de Microsoft Office 365. De esta manera, los ciberdelincuentes pudieron sustraer las credenciales de más de mil empleados de la empresa.
Una vez extraídos los datos, estos se almacenaban en docenas de servidores WordPress controlados por los ciberdelincuentes, los cuales incluían un archivo malicioso PHP y se encargan de procesar todas las credenciales obtenidas. Sin embargo, y debido a un simple error en la cadena de ataque, los atacantes que estaban detrás de esta campaña de phishing terminaron exponiendo estos datos en Internet, ya que la carpeta donde estaban almacenados fue indexada por Google, por lo que esta información estaba visible para todo el público. Todo un obsequio para cualquier ciberdelincuente oportunista.
El ataque se produce la siguiente manera:
- Los ciberdelincuentes envían un correo electrónico de phishing malicioso con un archivo HTML adjunto a las víctimas potenciales.
- Al hacer clic en el documento, redirige a las víctimas a una página de inicio de sesión similar a la de las marcas populares, en este caso Xerox.
- Las contraseñas y direcciones de correo electrónico de las víctimas se enviaron y almacenaron en un archivo de texto alojado en servidores comprometidos.
- Google indexó estos documentos, por lo que automáticamente se convirtieron en información accesible para todo el mundo. Para ello, tan sólo había que realizar una búsqueda en Internet
Deja un comentario