Microsoft advierte del ataque de phishing SEABORGIUM que se hará amigo de ti primero para robarte después

El Microsoft Threat Intelligence Center (MSTIC) ha publicado una advertencia sobre una campaña de phishing llamada «SEABORGIUM». Si bien no es nuevo, ya que existe desde al menos 2017, Microsoft cree que ha aprendido lo suficiente sobre SEABORGIUM y cómo funciona para publicar una guía completa que podría ayudar a las posibles víctimas a evitarlo.

El peligro de la campaña radica en cómo los atacantes lanzan el ataque. Fueron vistos por primera vez para realizar un reconocimiento o una estrecha vigilancia de las posibles víctimas utilizando perfiles de redes sociales fraudulentos. También se generan múltiples direcciones de correo electrónico para hacerse pasar por identificaciones reales de personas genuinas para contactar a los objetivos.

A continuación se muestra un ejemplo de un correo electrónico reciente enviado por los atacantes a los objetivos para generar confianza y establecer una relación:

Después de eso, Microsoft afirma que los actores de SEABORGIUM entregan direcciones URL maliciosas directamente en el correo electrónico o a través de archivos adjuntos, como puede ver a continuación, a menudo imitando servicios de alojamiento como OneDrive de Microsoft:

Por ejemplo, aquí hay un ejemplo (a continuación) de un archivo adjunto que no tiene una vista previa disponible, lo que podría tentar a las víctimas a hacer clic en un enlace malicioso que dirige a las víctimas a portales de phishing:

Microsoft notó el uso del kit de phishing EvilGinx en este caso para robar las credenciales de las víctimas. La siguiente imagen muestra un portal de phishing desarrollado por SEABORGIUM para engañar a las víctimas para que roben sus datos de inicio de sesión.

Como parte de esta campaña general de SEABORGIUM, Microsoft ha observado principalmente filtraciones de datos y manipulación de la información. El gigante de Redmond explicó en detalle el impacto del primero:

Exfiltración e impacto de datos

• Exfiltración de inteligencia: SEABORGIUM ha sido observado extrayendo correos electrónicos y archivos adjuntos de los buzones de correo de las víctimas.
• Configuración de la recopilación permanente de datos: en casos limitados, se ha visto que SEABORGIUM configura reglas de reenvío desde los buzones de correo de la víctima a cuentas secretas controladas por el sujeto, donde el sujeto tiene acceso a largo plazo a los datos recopilados. Hemos observado repetidamente cómo los actores pueden acceder a los datos de la lista de correo para grupos sensibles, como los que frecuentan los ex funcionarios de inteligencia, y respaldar la recopilación de información de las listas de correo para su posterior selección y exfiltración.
• Acceso a personas de interés: ha habido varios casos en los que SEABORGIUM ha utilizado sus cuentas modelo a seguir para facilitar el diálogo con personas de interés específicas y, como resultado, se han incluido en conversaciones, a veces sin querer, que involucran a varias partes. La naturaleza de las conversaciones descubiertas por las investigaciones de Microsoft sugiere la divulgación de información potencialmente confidencial que podría tener valor de inteligencia.

Puede encontrar más detalles en la publicación oficial del blog en el sitio de Microsoft aquí .