Los actores de amenazas están utilizando sitios de publicación de documentos digitales (DDP) alojados en plataformas como FlipSnack, Issuu, Marq, Publuu, RelayTo y Simplebooklet para llevar a cabo phishing y sesiones de robo de credenciales. Estos sitios DDP permiten a los usuarios cargar y compartir archivos PDF en formato de flipbook interactivo basado en navegador, lo que permite que el contenido publicado se vuelva automáticamente no disponible después de una fecha y hora predeterminadas.
Cisco Talos, el investigador de ciberseguridad, señaló que “alojar señuelos de phishing en sitios DDP aumenta la probabilidad de un ataque de phishing exitoso«, debido a que estos sitios a menudo tienen una reputación favorable, es poco probable que aparezcan en las listas de bloqueo del filtro web y pueden brindar una falsa sensación de seguridad en los usuarios que los reconocen como familiares o legítimos.
En el pasado, los adversarios han utilizado servicios en la nube populares como Google Drive, OneDrive, Dropbox, SharePoint y otros para alojar documentos de phishing. Sin embargo, el último desarrollo marca una escalada diseñada para evadir los controles de seguridad por correo electrónico.
Se ha descubierto que los actores de amenaza abusan del nivel gratuito o del período de prueba sin costo ofrecido por estos servicios para crear múltiples cuentas y publicar documentos maliciosos.
En los análisis realizados por Cisco Talos, los sitios DDP están integrados en la cadena de ataque en el segundo o en la etapa intermedia, generalmente mediante la incrustación de un enlace a un documento alojado en un sitio DDP legítimo en un correo electrónico de phishing.
La página de destino final es un sitio falso que imita la página de inicio de sesión de Microsoft 365, lo que permite a los atacantes robar credenciales o tokens de sesión.
Los sitios DDP representan un punto ciego para los defensores, ya que son desconocidos para los usuarios capacitados y es poco probable que sean detectados por los controles de filtrado de correo electrónico y contenido web. Las mismas características y beneficios que atraen a los usuarios legítimos a estos sitios pueden ser abusados por los actores de amenazas para aumentar la eficacia de un ataque de phishing.
En resumen, los actores de amenazas están utilizando servicios DDP alojados en plataformas populares como FlipSnack, Issuu, Marq, Publuu, RelayTo y Simplebooklet para llevar a cabo phishing y robo de credenciales. Estos sitios DDP permiten a los usuarios cargar y compartir archivos PDF en formato interactivo, y las características incorporadas en algunos servicios DDP dificultan la detección y extracción de enlaces maliciosos en los mensajes de phishing. Los sitios DDP representan un punto ciego para los defensores, y los atacantes pueden utilizarlos para aumentar la eficacia de sus ataques de phishing.
Vía The Hacker News
