Un actor de amenazas desconocido ha sido vinculado a una campaña de estafa masiva que explotó una configuración incorrecta del enrutamiento de correo electrónico en las defensas del proveedor de seguridad de correo electrónico Proofpoint para enviar millones de mensajes que suplantaban a varias empresas populares como Best Buy, IBM, Nike y Walt Disney, entre otras. «Estos correos electrónicos se hicieron eco de los relés de correo electrónico oficiales de Proofpoint con firmas SPF y DKIM autenticadas, eludiendo así las principales protecciones de seguridad, todo para engañar a los destinatarios y robar fondos y detalles de tarjetas de crédito», dijo el investigador de Guardio Labs, Nati Tal, en un informe detallado compartido con The Hacker News. La empresa de ciberseguridad ha dado a la campaña el nombre de EchoSpoofing. Se cree que la actividad comenzó en enero de 2024, y el actor de amenazas explotó la laguna para enviar hasta tres millones de correos electrónicos por día en promedio, una cifra que alcanzó un pico de 14 millones a principios de junio cuando Proofpoint comenzó a implementar contramedidas. «La parte más exclusiva y poderosa de este dominio es el método de suplantación de identidad, que prácticamente no deja ninguna posibilidad de darse cuenta de que no se trata de un correo electrónico genuino enviado por esas empresas», dijo Tal a la publicación. «Este concepto de EchoSpoofing es realmente poderoso. Es un poco extraño que se esté utilizando para phishing a gran escala como este en lugar de una campaña de phishing selectivo, donde un atacante puede tomar rápidamente la identidad de cualquier miembro real del equipo de la empresa y enviar correos electrónicos a otros compañeros de trabajo; eventualmente, a través de ingeniería social de alta calidad, obtener acceso a datos internos o credenciales e incluso comprometer a toda la empresa. La técnica, que implica que el actor de la amenaza envíe los mensajes desde un servidor SMTP en un servidor privado virtual (VPS), es notable por el hecho de que cumple con medidas de autenticación y seguridad como SPF y DKIM, que son las abreviaturas de Sender Policy Framework y DomainKeys Identified Mail, respectivamente, y se refieren a métodos de autenticación que están diseñados para evitar que los atacantes imiten un dominio legítimo. Todo se remonta al hecho de que estos mensajes se enrutan desde varios inquilinos de Microsoft 365 controlados por el adversario, que luego se retransmiten a través de las infraestructuras de correo electrónico de los clientes empresariales de Proofpoint para llegar a los usuarios de proveedores de correo electrónico gratuitos como Yahoo!, Gmail y GMX. Este es el resultado de lo que Guardio describió como un «error de configuración superpermisivo» en los servidores de Proofpoint («pphosted.com») que esencialmente permitió a los spammers aprovechar la infraestructura de correo electrónico para enviar los mensajes. «La causa principal es una función de configuración de enrutamiento de correo electrónico modificable en los servidores de Proofpoint para permitir la retransmisión de mensajes salientes de las organizaciones desde los inquilinos de Microsoft 365, pero sin especificar qué inquilinos de M365 permitir», dijo Proofpoint en un informe de divulgación coordinado compartido con The Hacker News. «Cualquier infraestructura de correo electrónico que ofrezca esta función de configuración de enrutamiento de correo electrónico puede ser abusada por los spammers». Dicho de otra manera, un atacante puede utilizar la deficiencia como arma para configurar inquilinos de Microsoft 365 no autorizados y enviar mensajes de correo electrónico falsificados a los servidores de retransmisión de Proofpoint, desde donde se «reproducen» como mensajes digitales genuinos que se hacen pasar por los dominios de los clientes. Esto, a su vez, se logra configurando el conector de correo electrónico saliente de Exchange Server directamente al punto final vulnerable pphosted.com asociado con el cliente. Además, se utiliza una versión pirateada de un software legítimo de entrega de correo electrónico llamado PowerMTA para enviar los mensajes. «El spammer utilizó una serie rotativa de servidores privados virtuales (VPS) alquilados de varios proveedores, utilizando muchas direcciones IP diferentes para iniciar ráfagas rápidas de miles de mensajes a la vez desde sus servidores SMTP, enviados a Microsoft 365 para ser retransmitidos a los servidores de clientes alojados en Proofpoint», dijo Proofpoint. «Microsoft 365 aceptó estos mensajes falsificados y los envió a las infraestructuras de correo electrónico de estos clientes para ser retransmitidos. Cuando se falsificaron los dominios de los clientes mientras se retransmitían a través de la infraestructura de correo electrónico del cliente correspondiente, también se aplicó la firma DKIM a medida que los mensajes transitaban por la infraestructura de Proofpoint, lo que hizo que los mensajes de spam fueran más fáciles de entregar». Se sospecha que los operadores eligieron intencionalmente EchoSpoofing como una forma de generar ingresos ilegales y evitar el riesgo de exposición durante períodos prolongados de tiempo, ya que apuntar directamente a las empresas a través de este modus operandi podría haber aumentado drásticamente las posibilidades de ser detectado, poniendo en peligro efectivamente todo el esquema. Dicho esto, actualmente no está claro quién está detrás de la campaña. Proofpoint dijo que la actividad no se superpone con ningún actor o grupo de amenazas conocido. «En marzo, los investigadores de Proofpoint identificaron campañas de spam que se retransmitían a través de una pequeña cantidad de infraestructura de correo electrónico de clientes de Proofpoint mediante el envío de spam desde inquilinos de Microsoft 365», dijo en un comunicado. «Todos los análisis indican que esta actividad fue realizada por un actor de spam, cuya actividad no atribuimos a una entidad conocida». «Desde que descubrimos esta campaña de spam, hemos trabajado diligentemente para proporcionar instrucciones correctivas, incluida la implementación de una interfaz administrativa optimizada para que los clientes especifiquen qué inquilinos de M365 pueden retransmitir, con todos los demás inquilinos de M365 denegados de forma predeterminada». Proofpoint enfatizó que no se expusieron datos de los clientes, ni ninguno de ellos experimentó pérdida de datos, como resultado de estas campañas. Además, señaló que se comunicó directamente con algunos de sus clientes para cambiar sus configuraciones para detener la efectividad de la actividad de spam de retransmisión saliente. «Cuando empezamos a bloquear la actividad de los spammers, estos aceleraron sus pruebas y se trasladaron rápidamente a otros clientes», señaló la empresa. «Establecimos un proceso continuo de identificación de los clientes afectados cada día, volviendo a priorizar la comunicación para corregir las configuraciones». Para reducir el spam, insta a los proveedores de VPS a limitar la capacidad de sus usuarios de enviar grandes volúmenes de mensajes desde servidores SMTP alojados en su infraestructura. También pide a los proveedores de servicios de correo electrónico que restrinjan las capacidades de los usuarios de prueba gratuita y de los nuevos inquilinos no verificados para enviar mensajes de correo electrónico salientes masivos, así como que les impidan enviar mensajes que suplanten un dominio del que no han demostrado ser propietarios. «Para los CISO, la principal lección aquí es tener un cuidado especial de la postura de la nube de su organización, específicamente con el uso de servicios de terceros que se convierten en la columna vertebral de los métodos de comunicación y redes de su empresa», dijo Tal. «Específicamente en el ámbito de los correos electrónicos, mantenga siempre un ciclo de retroalimentación y control propio, incluso si confía plenamente en su proveedor de correo electrónico». «Y en cuanto a otras empresas que ofrecen este tipo de servicios de red troncal, al igual que hizo Proofpoint, deben estar alerta y ser proactivas y pensar en todos los tipos posibles de amenazas en primer lugar. No solo las amenazas que afectan directamente a sus clientes, sino también al público en general. «Esto es crucial para la seguridad de todos nosotros y las empresas que crean y operan la red troncal de Internet, incluso si son privadas, tienen la mayor responsabilidad al respecto. Como dijo alguien, en un contexto completamente diferente pero tan relevante aquí: ‘Un gran poder conlleva una gran responsabilidad'». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.