Los piratas informáticos utilizan AWS y Oracle para robar las credenciales de Office 365

Una campaña de phishing que ha estado activo durante más de un año, utiliza sitios comprometidos alojados en Amazon Web Services y la infraestructura en la nube de Oracle para robar las credenciales de Office 365. Las personas a las que se dirigen estos ataques son principalmente ejecutivos de nivel C de varias organizaciones. Se sugiere habilitar 2FA para mayor seguridad.

Uso de AWS y Oracle Cloud

Los piratas informáticos en una campaña de phishing prolongada en operación durante un año y medio han estado utilizando los servicios web de Amazon y la nube de Oracle en su mecanismo.

Los investigadores de v, una empresa de ciberseguridad, dijeron que los ejecutivos de nivel C en pequeñas y medianas empresas e instituciones financieras en Australia y Estados Unidos son el objetivo de esta campaña.

Flujo de la campaña de phishing
Flujo de la campaña de phishing

Comienzan con una táctica de señuelo simple de invitar al objetivo a una reunión de Zoom u otras notificaciones de correo de voz de un jefe, y eventualmente lo redireccionan a un sitio web falso cuando se hace clic en los enlaces del correo electrónico.

Los investigadores dijeron que el flujo de redireccionamiento es lo que hace que los piratas informáticos sean especiales aquí, ya que utilizan servicios auténticos para ganar confianza. El objetivo será redirigido a un sitio web de phishing falso que ya está comprometido.

Aqui, Se les pedirá que inicien sesión con sus credenciales de Microsoft Office 365, que se transferirán instantáneamente al C2 del pirata informático tan pronto como ingresen. Cabe señalar que los correos electrónicos no deseados se enviaron utilizando cuentas de correo electrónico comprometidas.

ETLa redirección del sitio utiliza Amazon Web Services (AWS) y Oracle Cloud para ser auténtica, evitando así cualquier detección.

Los investigadores encontraron más de 40 de estos sitios comprometidos en esta campaña. Además, algunos fragmentos de código HTML en las páginas de phishing insinuaban que se trataba de un negocio de phishing como servicio.

Se pueden alquilar a otros ciberdelincuentes para obtener credenciales con otros fines maliciosos.

Entonces, para evitar tales ataques, los investigadores sugirieron usar protocolos 2FA para una mejor seguridad de la cuenta. También por Manténgase atento a los correos electrónicos desconocidos y las URL recibidas. que llevan dentro.