Los atacantes que se dirigen a los usuarios de Microsoft 365 con correos electrónicos de phishing han estado recurriendo a una vieja táctica a lo grande en las últimas semanas – y la técnica es tan sigilosa que es “fácil” para los usuarios ser presa, según el proveedor de seguridad de correo electrónico, Vade.
La técnica -conocida como ataque de anulación de derecha a izquierda (RLO)- se remonta a dos décadas atrás. Su objetivo es engañar a los usuarios de Microsoft 365 para que hagan clic en un archivo adjunto disfrazando la extensión del mismo.
“Si el usuario no presta atención a la extensión y considera el contexto del correo electrónico para determinar si es legítimo, es fácil caer en la trampa”, dijo Antoine Morel, ingeniero de preventa de ciberseguridad en Vade, en un correo electrónico a VentureBeat.
En lo que respecta a la técnica de ataque RLO, falsificar la extensión de un archivo es posible gracias a un carácter especial de Unicode, la anulación de derecha a izquierda. Cuando se utiliza, el carácter invierte el texto subsiguiente para que se muestre de derecha a izquierda, lo contrario que en el caso del inglés.
En el pasado, la táctica se ha utilizado para disfrazar la extensión “.exe” de un archivo, de modo que un usuario que pensaba que estaba abriendo un archivo .txt, por ejemplo, en realidad abría un archivo ejecutable malicioso, dice Vade.
La reciente oleada de ataques RLO ha evolucionado para intentar engañar a los usuarios con un tipo de extensión de archivo más actual – .mp3 – que se presenta como si fuera un mensaje de voz, dijo el proveedor de seguridad de correo electrónico.
En una de las iteraciones del ataque, hacer clic en el archivo adjunto lleva al usuario a una página web, que le pide que introduzca sus credenciales para acceder al correo de voz, dice Vade.
Sin embargo, “cada ataque de suplantación de identidad RLO es único, y los atacantes están utilizando diferentes encabezados, remitentes, asuntos y archivos adjuntos para pasar a través de la protección de seguridad básica”, dijo la compañía en una entrada de blog hoy.
Aunque los usuarios que no prestan atención pueden caer fácilmente en esto, “también es fácil detectar el truco, como que abrir un archivo .mp3 lleva a una página web de inicio de sesión de Microsoft”, dijo Morel. “Este tipo de suplantación es especialmente peligroso y tiene más probabilidades de éxito para las personas que no son conscientes de este proceso de enmascaramiento y no tienen cuidado al analizar los correos electrónicos en general”.
Vade afirma que ha observado más de 400 campañas de suplantación de identidad diferentes en las últimas dos semanas.
Con información de Panda Security.