Hay un nuevo phishing que circula en España y que es muy realista. Marcos Besteiro, director ejecutivo en ACEDIS Formación, alertó en su Twitter de haber recibido un mail que dice que «ha recibido 3 archivos», aunque en inglés. El emisor del mensaje es WeTranfer y el mail, que en realidad es una trampa, parece realmente un envío a través de WeTransfer.
Hoy, un intento de scam/phishing/robo de datos elaborado. Recibimos este correo: pic.twitter.com/dY7j9J6gOh
— Marcos Besteiro 👧🏻👶🏻 (@MarcosBL) April 8, 2022
El mail menciona la dirección de correo del destinatario en el cuerpo, para darle mayor realismo. El directivo dice que sus compañeras son expertas y que le avisaron que ellas ni esperaban ni habían enviado nada reciente, y que al poner el ratón en el link, la URL no es la de https://wetransfer.com. Así que gracias a eso, no cayeron en la trampa.
Cómo llega a robar credenciales
Investigando, un hover sobre el enlace desveló que apunta a https://ipfs.io/ipfs/QmRQpbWjL8pHbQenKmoB8yzYpLeaoMyMS4gvaZKMPAbRD5?filename=flx.html#info@acedis.com. El script malicioso que tienen, recoge ese email, para saber de donde viene el click, elimina el user, y se queda con el dominio.
El script abre un iframe con ese dominio a pantalla completa, de forma que parece que estás en la web de tu propia empresa. Y sobre ese frame, posicionan una ventana de login suya, de forma que si picas y crees que tienes que entrar en tu web, captura tu usuario y contraseña, tal y como relata el directivo.
También se hizo otra prueba, si cambiamos en su URL nuestro email por el de info@telefonica.com, vemos como hace lo mismo con el sitio web de telefónica. Como se puede ver en esta imagen:
Con esas credenciales, los atacantes podrían robarte luego más información, datos y dinero. El script malicioso está alojado en http://ipfs.io; IPFS es un sistema web p2p para compartir contenido donde cada integrante es un nodo de la red.
No es la primera vez que sucede
El pasado año, ya publicamos de un caso de phishing que primero simulaba ser WeTransfer y luego Microsoft. El objetivo de este también elaborado ataque era robar las credenciales de acceso a Office 365 de las potenciales víctimas.
Un robo que, en caso de producirse, daría acceso a los atacantes a correos electrónicos, documentos, hojas de cálculo, presentaciones, notas, conversaciones y un largo etcétera, dependiendo de las herramientas usadas por la empresa afectada.
El ataque detectado comenzaba con un correo electrónico que suplanta a WeTransfer y nos avisaba de la supuesta recepción de unos ficheros. El mensaje recibido se asemejaba a los enviados por esta plataforma y si no se prestaba demasiada atención a detalles como el correo electrónico remitente, que contiene un dominio que nada tiene que ver con WeTransfer, podría darse por bueno, igual que el ataque descubierto hoy.