Los ciberdelincuentes están utilizando indebidamente la infraestructura de Adobe en una campaña LinkedIn que roba contraseñas y, a continuación, redirige a las víctimas al LinkedIn legítimo LinkedIn .
El correo electrónico de phishing se hace pasar por una consulta comercial diseñada para parecer que procede de LinkedIn incluye un archivo adjunto falso con un «contrato». Sin embargo, presenta una serie de señales de alerta:
- El nombre del remitente, la dirección de correo electrónico y la firma del correo electrónico no coinciden
- La empresa remitente existe, pero no en Estados Unidos
- El nombre del remitente existe, pero no en esa empresa
- El archivo adjunto tiene una doble extensión:
pdf.html
«Me gustaría hacer negocios contigo a través de LinkedIn. Soy comprador.
Adjunto le envío el contrato firmado n.º 33110: 12 000 unidades.
Espero tener noticias suyas. «
¿Estafa o es de fiar? Scam Guard lo sabe.
Las extensiones de archivo dobles se utilizan a menudo para engañar a los destinatarios y hacerles creer que un archivo es algo distinto de lo que realmente es. El archivo HTML adjunto está muy ofuscado. Básicamente, se trata de un código JavaScript de una sola línea.
El script utiliza dos métodos habituales de ofuscación: la codificación de URL y Base64. El script se divide en dos secciones codificadas en Base64.
Al abrir el archivo adjunto, verás un sencillo formulario de inicio de sesión.
La dirección de correo electrónico del destinatario está fijada de forma permanente, y no es posible modificarla ni eliminarla. Quizás porque algunos investigadores no tienen ningún reparo en saturar el canal de recepción con credenciales falsas.
Pero lo interesante viene al identificar el canal de recepción. El análisis de la red revela esta URL:
https://lnkd.tt.omtrdc.net/rest/v1/delivery
Este dominio pertenece a Adobe y está asociado a la plataforma de pruebas A/B Adobe Target. Sin embargo, la campaña no utiliza Adobe Target para recibir las credenciales sustraídas mediante phishing. En cambio, los atacantes están utilizando Adobe Target como punto de redireccionamiento o de abuso en el proceso de phishing. Probablemente con el fin de rastrear a las víctimas que han caído en la trampa del correo electrónico de phishing.
Al final, redirige al usuario a la página legítima business.linkedin.com para disipar cualquier sospecha que el objetivo pueda tener aún.
Tras desofuscar los scripts, descubrimos el destino de las credenciales enviadas:
En definitiva, incluso con todo ese nivel de ofuscación, el método es muy rudimentario y sencillo:
Publicar en: http://a1263367.xsph.ru/taam/Ln.php
Con datos:
- AA = dirección de correo electrónico predefinida
- BB = la contraseña que haya introducido el usuario
El archivo PHP alojado en un .ru El dominio se encarga de la redirección a LinkedIn, lo que hace que la víctima crea que acaba de iniciar sesión correctamente.
Cómo mantenerse seguro
La buena noticia: una vez que sabes en qué fijarte, estos ataques son mucho más fáciles de detectar y bloquear. La mala noticia: son baratos, se pueden ampliar fácilmente y es probable que sigan circulando.
Así que, la próxima vez que un «PDF» te pida la contraseña en el navegador, detente un momento y piensa en lo que podría esconderse detrás.
Además de evitar los archivos adjuntos no solicitados, aquí tienes algunas formas de mantenerte seguro:
- Accede a tus cuentas únicamente a través de aplicaciones oficiales o escribiendo la dirección del sitio web oficial directamente en tu navegador.
- Comprueba cuidadosamente las extensiones de los archivos. Aunque un archivo parezca un PDF, puede que no lo sea.
- Habilitala autenticación multifactorialpara tus cuentas críticas.
- Utilice unasolución antimalwareactualizada y en tiempo real con un módulo de protección web.
Consejo profesional:Malwarebytes Guardreconoció este correo electrónico como una estafa.
Los estafadores no necesitan hackearte. Solo necesitan que hagas clic una vez.
Malwarebytes Identity Theft detecta actividades sospechosas antes de que se conviertan en un problema.
