Se trata de ataques dirigidos diseñados para robar credenciales de acceso.

2 de agosto de 2024

Kaspersky ha descubierto un fraude de phishing en fases múltiples dirigido a empleados que trabajan con documentación financiera. El engaño comienza cuando las víctimas reciben un correo electrónico de la dirección legítima de una empresa de auditoría. Esta interacción inicial pretende hacer que el destinatario no sospeche y facilitar la actividad fraudulenta principal. A continuación, llega una notificación del servicio Dropbox, que contiene enlaces maliciosos en los que los ciberdelincuentes han subido archivos de phishing diseñados para robar credenciales. 

El primer paso de este tipo de ataque consiste en que las víctimas reciban correos electrónicos supuestamente de una empresa de auditoría legítima. Estos correos se envían desde una dirección auténtica, que muy probablemente ha sido hackeada por los atacantes. Utilizan tácticas de ingeniería social para que las víctimas bajen la guardia y prepararlas para recibir un archivo de Dropbox.

El primer paso de la estafa: la víctima recibe un correo electrónico de un supuesto “auditor”

“El correo electrónico parece fiable desde el punto de vista tanto humano como del software de protección. Presenta una historia creíble en la que se afirma que una empresa auditora oficial tiene información para el destinatario, junto con una cláusula de exención de responsabilidad sobre el intercambio de información confidencial. Además, el correo electrónico no contiene enlaces ni archivos adjuntos y proviene de una dirección de empresa fácil de buscar, lo que lo hace casi imposible de detectar por un filtro de spam”, afirma Roman Dedenok, experto en seguridad de Kaspersky.

El único rasgo sospechoso de este correo electrónico es que el remitente utiliza “Dropbox Application Secured Upload“, un servicio que no existe. Aunque los archivos subidos a Dropbox se pueden proteger con contraseña, no ofrecen ninguna funcionalidad adicional.

Después de este correo electrónico, los ciberdelincuentes envían a sus víctimas una notificación oficial de Dropbox. Si el destinatario ya ha sido influenciado por el mensaje inicial, es más probable que siga el enlace para revisar el documento.

Notificación de Dropbox

Al hacer clic en el enlace aparece un documento borroso con una ventana de autenticación superpuesta. El documento actúa como un gran botón, siendo toda su superficie un enlace malicioso. Al hacer clic, el usuario verá un formulario que solicita su nombre de usuario y contraseña corporativos, credenciales que los ciberdelincuentes pretenden robar mediante este esquema de varios pasos.

Archivo PDF malicioso subido a Dropbox, imitando una solicitud de autenticación