Es posible que no esté familiarizado con Microsoft Sway o, al menos, nunca lo haya usado. Pero los ciberdelincuentes están explotando esta aplicación web para enviar correos electrónicos de phishing a víctimas desprevenidas, según un nuevo informe de Avanan.

Disponible en la web y como una aplicación de Windows 10, Microsoft Sway le permite crear presentaciones, boletines y documentación completa con fotos, videos y otros medios. Luego puede publicar su presentación en la web a través de un enlace para compartir en el que cualquiera puede hacer clic para verla.

Sin embargo, incluso si su organización no usa este software, aún puede ser vulnerable a los ataques de phishing alojados por Sway, según Avanan. Así es cómo.

Al crear y publicar una página de Sway en sway.office.com, los delincuentes pueden crear páginas de destino que parecen legítimas pero que en realidad contienen contenido malicioso. Dado que las páginas están alojadas en el propio dominio Sway de Microsoft, las páginas y sus vínculos se aprueban automáticamente mediante filtros de URL y pueden engañar fácilmente a los usuarios para que piensen que son válidas.

VER: Ataques de phishing: una guía para profesionales de TI (PDF gratuito) (República Tecnológica)

Si inicia sesión en un sitio de Sway con una cuenta de Office, estas páginas se muestran con el estilo y los menús de Office 365 para que sean más atractivas. Una página de Sway malintencionada puede incluir marcas de confianza afiliadas a Microsoft, como un logotipo de SharePoint. Dicha página generalmente muestra una URL tentadora que solicita al usuario que haga clic en ella, pero luego descarga malware o activa una página de inicio de sesión falsificada (Figura A).

Para convencer a las posibles víctimas de que accedan a una página de phishing maliciosa de Sway, los ciberdelincuentes enviarán correos electrónicos con notificaciones de correo de voz o fax, con la esperanza de que los usuarios desprevenidos hagan clic en el enlace o la imagen.

El año pasado, Microsoft implementó la detección de phishing en Microsoft Forms, un producto en línea que permite a los usuarios crear encuestas, cuestionarios y sondeos.

Figura A

Figura A
Imagen: Avanan

En un ejemplo citado por Avanan, se envió un correo electrónico de phishing desde una dirección de correo electrónico de onmicrosoft.com. Dado que Microsoft confía en el dominio, este correo electrónico puede eludir los filtros básicos de suplantación de identidad. El tipo correcto de marca e investigación del correo electrónico convence a los usuarios de que contiene un fax legítimo.

Una fecha reciente junto al texto "Fax recibido en" sugiere que se trata de un ataque sofisticado, ya que agregar una marca de tiempo hace que el correo electrónico falsificado parezca urgente e importante.

La imagen de vista previa del fax en sí parece demasiado grande para ignorarla. Dos enlaces en el correo electrónico al supuesto servicio de fax y fax apuntan a sway.office.com (Figura B).

Incluso si la víctima prevista no usa Sway, es probable que esa persona confíe en cualquier correo electrónico de office.com. El propio Microsoft confía en los dominios de Sway y Office, por lo que esta URL pasará por alto la configuración de Safe Link. Otros enlaces en el correo electrónico apuntaban a LinkedIn, otro sitio confiable.

Este tipo de ataque de phishing puede tener éxito porque envía a los usuarios a una página de confianza alojada por Microsoft en lugar de a un sitio web comprometido que probablemente sería bloqueado por navegadores web y listas negras.

Figura B

Figura B
Imagen: Avanan

En respuesta a una solicitud de comentarios, un portavoz de Microsoft envió a TechRepublic la siguiente declaración:

"Contrariamente a las afirmaciones de marketing de Avanan, Microsoft no confía automáticamente en ningún dominio, incluidos los dominios de Office y Sway. Todos los enlaces se escanean, evalúan y comparan con vectores de ataque conocidos, incluidos los dominios locales. Además, Microsoft realiza una revisión exhaustiva del contenido de Sway, incluido el análisis de enlaces en la página.

En respuesta a la declaración de Microsoft, el jefe de marketing de contenido de Avanan, Reece Guida, destacó el ataque específico descubierto por la empresa y dijo: "Nuestro equipo de seguridad descubrió que Microsoft no bloqueó los dominios Office y Sway en este ataque. Este vector de ataque no se conocía. Este ataque afectó a los clientes de Avanan que usaban EOP (Exchange Online Protection) y ATP (Advanced Threat Protection), y Microsoft no bloqueó ninguno de los enlaces, lo que sugiere que Microsoft no los analizó.

Siguiendo el comentario de Guida, el fundador de Avanan, Michael Landewe, dijo que la compañía solo puede hablar sobre lo que encuentra en el análisis del mundo real.

"En este caso, nuestros clientes recibieron una avalancha de correos electrónicos similares a los descritos en la publicación, cada uno apuntando a un documento de Sway diferente. La mayoría todavía está en línea”, dijo Landewe. "Cada documento de Sway apuntaba a un inicio de sesión de Microsoft falsificado. los sitios maliciosos ya no estaban en línea, en el momento en que una variedad de herramientas los consideraba maliciosos, incluidos Chrome, Firefox, Opera y el propio navegador Edge de Microsoft. (Es posible que la infraestructura que usa Microsoft para escanear documentos en Sway sea de una tecnología diferente y aún no haya eliminado estas páginas del mes pasado).

“La razón por la que los atacantes alojan estos enlaces maliciosos en los servidores de Microsoft es porque Microsoft y los usuarios tienden a confiar en los sitios de Microsoft”, agregó Landewe. “Durante mucho tiempo, los atacantes han vinculado a los usuarios con malware alojado en OneDrive y se han publicado muchos artículos sobre esta metodología. Este vector de ataque de alojar una URL maliciosa en un documento de Sway se conoce desde hace más de un año. En ese momento, se consideró un método "pequeño y aparentemente no dirigido".

“El motivo de la publicación del blog es alertar a los usuarios sobre el hecho de que ahora hay campañas activas y agresivas en la naturaleza”, continuó Landewe. "Debido a que monitoreamos y bloqueamos las amenazas detrás de EOP y ATP de Microsoft, podemos determinar que las invitaciones de Sway no están bloqueadas actualmente por los filtros de correo electrónico de Outlook/Office 365. Dado que los documentos maliciosos de Sway todavía están en línea un mes después de la campaña activa, solo podemos suponer que Microsoft no sabe que contienen enlaces maliciosos.

Índice
  • Cómo protegerse
  • Cómo protegerse

    Los clientes de Avanan atacados por este ataque de phishing de Sway recibieron el mismo mensaje de diferentes remitentes. Debido a que los delincuentes usan múltiples remitentes y dominios, incluirlos en la lista negra no funcionará.

    En cambio, muchos clientes simplemente han incluido sway.office.com en la lista negra de sus filtros web. A menos que su organización utilice activamente Sway, lo mejor que puede hacer es hacer lo mismo y bloquear todos los enlaces de ese dominio, sugiere Avanan.

    Por su parte, Microsoft ofrece formas de enviar spam o mensajes de phishing que han pasado por sus filtros de spam.

    Este artículo se actualizó el 14 de enero de 2020 con comentarios de Avanan.