Se ha advertido a empresas de Australia y la región APAC que los ciberdelincuentes están explotando plataformas populares como Atlassian para lanzar ataques de phishing más convincentes contra bufetes de abogados y otras corporaciones. Estos ataques tienen como objetivo robar las credenciales de los empleados y violar las defensas de seguridad cibernética de la empresa. Ryan Economos, director de tecnología de campo de APAC de la empresa de seguridad de correo electrónico Mimecast, dijo a TechRepublic que este tipo de ataques de phishing son raros en el uso de Atlassian como tapadera. Pero señaló que los ataques de phishing se están volviendo cada vez más sofisticados gracias a los kits de phishing y la inteligencia artificial, que facilitan a los ciberdelincuentes la ejecución de sus actividades. Espacios de trabajo de Atlassian, ISP japoneses y una portada de cumplimiento El Informe de inteligencia sobre amenazas globales 2024 H1 de Mimecast informó sobre el surgimiento de una nueva táctica de phishing que utilizaba una portada de actualización de cumplimiento para apuntar a los empleados de las firmas de abogados. Los ataques de phishing: aprovecharon los espacios de trabajo de la popular marca local Atlassian, así como otras plataformas de espacios de trabajo unificados, incluidas Archbee y Nuclino, para enviar a los empleados correos electrónicos dañinos que parecían familiares y legítimos. Usó actualizaciones de cumplimiento de dispositivos como cobertura, indicando a los empleados por correo electrónico que necesitaban actualizar sus dispositivos para seguir cumpliendo con la política de la empresa. Fueron diseñados para redirigir a quienes hicieron clic en el enlace a un portal empresarial falso, donde los atacantes podrían recopilar credenciales y otra información confidencial. Se incorporó el enlace de phishing en un correo electrónico enviado desde direcciones asociadas con ISP japoneses. «Hay mucha personalización en los correos electrónicos, como detalles de un ‘dispositivo’ y varias referencias al dominio de la empresa a la que envían estas campañas para aumentar la validez», dice el informe de Mimecast. VER: La profesión jurídica de Australia se apresura a adoptar la IA «El nombre de la dirección del remitente siempre se refiere al nombre de dominio de la organización objetivo con el objetivo de engañar a los usuarios finales haciéndoles pensar que proviene de su departamento interno». Más cobertura de Australia La creciente sofisticación de los ataques de phishing Economos señaló que si bien la campaña inicialmente estaba dirigida a firmas de abogados australianas, desde entonces se ha expandido a otras industrias y ya no se limita al sector legal. Destacó varios aspectos de la campaña que indican una creciente sofisticación entre los actores de amenazas. Uso de Atlassian y otros espacios de trabajo Economos dijo que el uso creciente de los espacios de trabajo de Atlassian era un desarrollo más nuevo para el mercado. «Mimecast sigue viendo actores de amenazas haciendo uso de servicios como OneDrive y Google Docs para alojar archivos o enlaces en sus campañas, pero el uso de espacios de trabajo como Atlassian no ha sido objeto de un gran abuso anteriormente», dijo. Parte de la campaña era un correo electrónico que parecía ser del producto Confluence de Atlassian. Mimecast se refirió a un “aumento notable en el uso de Atlassian” para evadir la detección en los últimos tiempos. «El abuso de servicios legítimos es un desafío continuo y en evolución», dijo Economos. «Los atacantes seguirán aprovechando fuentes acreditadas para lanzar y alojar sus campañas, en un intento de evadir la detección». VER: El alarmante estado de las violaciones de datos en Australia en 2024 Recopilación de inteligencia de datos de seguimiento La campaña utilizó URL de matasellos para redirigir a los usuarios a las soluciones de espacio de trabajo unificado. Las URL de matasellos permiten a los atacantes recopilar datos como la ubicación, los detalles del navegador y en qué parte del correo electrónico se hizo clic, lo que les permite aprovechar esta inteligencia para hacer que el señuelo de phishing sea más convincente. Múltiples técnicas de ofuscación de URL Para hacer más difícil para los usuarios identificar el verdadero destino de la URL, la campaña de phishing utilizó “múltiples técnicas de ofuscación”, dijo Mimecast. Esto incluye múltiples redirecciones dentro de la URL, caracteres codificados y la inserción de parámetros de seguimiento. Reclutamiento de ISP japoneses desprevenidos Aunque el uso de ISP japoneses no es exclusivo de esta campaña de phishing, Economos señaló que fueron explotados una vez más, como lo habían hecho en varios ataques anteriores. «Continúa exponiendo hasta dónde llegarán los actores de amenazas para generar ataques con éxito contra las organizaciones», comentó. Los ataques de phishing serán más fáciles de montar y más convincentes. El phishing sigue estando entre las amenazas cibernéticas más comunes entre las organizaciones, afirmó Economos. Se espera que la IA generativa y el aprendizaje automático, además de ayudar a los defensores a detener los ataques, aumenten la sofisticación y mejoren la orientación y el contenido de las campañas de phishing. Esto impulsará la necesidad de los defensores de detectar y responder rápidamente a técnicas de ataque nuevas y novedosas. VER: Los empleados de APAC eligen la comodidad en lugar de la seguridad cibernética «La mayor evolución ha sido la velocidad y precisión de las amenazas de phishing, mediante el uso de kits de phishing, automatización y tecnologías basadas en inteligencia artificial», dijo Economos. «Estas plataformas permiten que incluso los atacantes con menos habilidades lancen campañas a gran escala y tengan la capacidad de crear rápidamente correos electrónicos de phishing más convincentes para evadir la detección de las herramientas de seguridad tradicionales». Economos también destacó el aumento de los pretextos (en los que un ciberdelincuente investiga y se hace pasar por un personaje para proporcionar una historia convincente o un “pretexto” para engañar a la víctima de phishing), así como el compromiso del correo electrónico empresarial, como factores importantes en la evolución del phishing. panorama de amenazas. “A medida que nuestras superficies de trabajo continúan diversificándose, los actores de amenazas están diversificando los vectores que explotan más allá del correo electrónico, apuntando a plataformas de redes sociales, herramientas de colaboración como Microsoft Teams, Slack y OneDrive hasta ataques de vishing y smishing mediante llamadas telefónicas o mensajes de texto para engañar. víctimas”, afirmó.