¿Qué hay tras un ataque de phishing?
Hoy queremos traer un ejemplo de un ataque phishing. Vamos a analizar lo que ocurre en bambalinas viendo en detalle los procesos desencadenados (y qué como usuarios no vemos) cuando por imprudencia o desconocimiento caemos ante este tipo de ataques…
El correo
Para este ejemplo vamos a escoger un correo que podríamos recibir cualquiera de nosotros en nuestros buzones de correo personales o de trabajo. Este correo contiene un adjunto o enlace que el usuario debe abrir.
Gracias a que contamos con herramientas de análisis vamos a mostrar lo que sucede cuando se cae en uno de estos ataques. Hemos realizado este análisis en un entorno seguro (sandbox) para analizar este programa maligno sin riego para nuestros equipos e información. Para ello hemos procedido a abrir el adjunto del correo. Como podrán ver, un fichero hemos procedido a abrir el adjunto Summary.2427.html lo que desencadena una serie de acciones como aperturas de conexiones ya sean por IP/dns, apertura de navegador de forma concatenada, creación de ficheros (más de 500) y creación de 16 entradas en el registro de Windows, etc…
Finalmente, la finalización de este proceso es mostrar al usuario una pagina en el navegador para que inicie sesión en el Microsoft 365 para poder visualizar el fichero que supuestamente ha recibido por correo. Si el usuario vuelve a caer en la trampa, introducirá su usuario y credencial de acceso.
Haciendo listado de las direcciones url en este ataque podemos ver las webs consultadas y que además se analizan con un antivirus los accesos que tienen una reputación desconocida. En algunos casos no hay amenaza, pero en alguna web si dado que su código ya es conocido por las compañías de antivirus.
En resumen, nuestro análisis en el sandbox reporta que tenemos un caso de malware clasificado con Phishing con sospecha de Rasomware y con riesgo de 80/100.
Conclusión: Es importante tener protecciones que permitan minimizar estos ataques, siendo neutralizarlos antes de su entrega al usuario y en aquellos casos más sofisticados en los que aparentemente las protecciones implementadas no sean suficiente tener a nuestros usuarios formados. Pero si se dan que las protecciones y la formación no es suficiente, por lo menos contar con soluciones EDR o XDR. En estos casos, se podrá evaluar el impacto en la compañía permitiendo al equipo de respuesta o de seguridad tomar las acciones necesarias para contener y corregir ante incidentes.
Para saber más o enviarnos cualquier consulta, no dude en ponerse en contacto con nosotros en [email protected]
Jorge Jiménez Ortega
Senior Security System Administrator
Asseco Spain Group