Barracuda full logo

Amenaza de correo electrónico Radar - Marzo 2025

Temas:
12 mar 2025
|

Durante el último mes, los analistas de BARRACUDA amenazar identificaron varias amenazas notables basadas en correo electrónico dirigidas a organizaciones de todo el mundo, entre ellas:

  • Intentos de extorsión haciéndose pasar por Clop Ransomware
  • Nuevos ataques de la plataforma evasiva y altamente adaptable LogoKitPhishing
  • Una campaña Phishing que aprovecha los archivos adjuntos de imagen SVG

Los atacantes se hacen pasar por Clop Ransomware para extorsionar el pago

Instantánea de Amenaza

¿Por qué tomarse la molestia y el gasto de lanzar un verdadero ataque de Ransomware cuando puedes fingir que lo haces?

Los analistas de amenazas de BARRACUDA descubrieron recientemente un ataque por correo electrónico en el que los estafadores intentaron convencer a los objetivos de que eran Ransomware Clop y que habían violado con éxito la red de la empresa y robado datos confidenciales. Los atacantes amenazaron con exponer la información a menos que las víctimas pagaran una suma no especificada.

Ejemplo de un ataque haciéndose pasar por Clop Ransomware

En su correo electrónico de extorsión, los atacantes afirmaron haber explotado una vulnerabilidad en Cleo, el desarrollador detrás de una serie de plataformas de transferencia de archivos gestionados, como Cleo Harmony, VLTrader y LexiCom. Este método de ataque está ampliamente asociado con Clop Ransomware.

Los atacantes afirmaron que habían obtenido acceso no autorizado a la red de la empresa de las víctimas y que habían descargado y exfiltrado datos del servidor. Para dar autenticidad a sus afirmaciones, señalaron el objetivo a una publicación de blog de los medios de comunicación que informaba sobre cómo Clop había robado datos de 66 clientes de Cleo utilizando este enfoque.

Los atacantes proporcionaron una serie de direcciones de correo electrónico de contacto e instaron a las víctimas a ponerse en contacto.

Señales a las que hay que prestar atención

  • Es probable que el correo electrónico del falso Clop haga referencia a la cobertura de los medios de comunicación sobre los verdaderos ataques de Clop de Ransomware.
  • Si el correo electrónico presenta elementos como un plazo de pago de 48 horas, enlaces a un canal de chat seguro para negociaciones de pago de rescates y nombres parciales de empresas cuyos datos fueron violados, entonces es probable que esté tratando con un RansomwareClop real y debe tomar medidas inmediatas para mitigar el incidente.
  • Si estos elementos están ausentes, es probable que solo estés siendo estafado.

El kit de Phishing LogoKit evade la detección con enlaces únicos e interacción con las víctimas en tiempo real

Instantánea de Amenaza

Los analistas de BARRACUDA se encontraron con la ya consolidada plataforma de Phishingcomo servicio LogoKit que distribuye correo electrónico malicioso que afirma ser sobre el restablecimiento urgente de contraseñas.

LogoKit ha estado activo desde 2022, y sus características y funcionalidad lo ayudan a evadir las defensas de seguridad tradicionales y dificultan significativamente la detección y mitigación.

Entre otras cosas, LogoKit tiene la alarmante capacidad de interactuar en tiempo real con las víctimas. Esto significa que los atacantes pueden adaptar sus páginas Phishing dinámicamente a medida que las víctimas escriben en sus credenciales. LogoKit recupera el logotipo de la empresa de un servicio de terceros, por ejemplo, Clearbit o la base de datos de favicon de Google.

LogoKit es muy versátil. Se integra con servicios de mensajería populares, redes sociales y plataformas de correo electrónico para distribuir sus Phishing. Puede generar páginas Phishing únicas para cada objetivo. Este nivel de versatilidad también dificulta la detección para las defensas de seguridad tradicionales.

En la campaña más reciente vista por los analistas de BARRACUDA amenaza, los atacantes distribuyeron correo electrónico de apariencia auténtica con los encabezados "Se solicitó restablecimiento de contraseña" o "Se requiere una acción inmediata de la cuenta". 

LogoKit ataques de Phishing ejemplo

Estos encabezados crean una sensación de preocupación y urgencia, diseñados para alentar al destinatario a hacer clic rápidamente en el enlace para resolver el supuesto problema. En su lugar, se les redirige a una página de Phishing creada dinámicamente y alojada por LogoKit.

Esta página está diseñada para parecer idéntica al portal de inicio de sesión y a la página de restablecimiento de contraseña del servicio al que las víctimas creen que se están conectando. Se solicita a las víctimas que ingresen su credencial de inicio de sesión, que luego son capturadas por el atacante.

Señales a las que hay que prestar atención

  • El patrón de URL que se va a buscar:
  • https://ExampleURL.#. [ clave + correo electrónico de las víctimas ]
  • https://ExampleURL/[ clave + correo electrónico de las víctimas ]
  • https://ExampleURL.#. [ URL codificada en base64 + correo electrónico de las víctimas ]

Patrón del hipervínculo a Clearbit y Favicon para obtener el logotipo:

  • <img src="https://logo.clearbit.com/Victim dominio" >
  • <img src= "https://www.google.com/s2/favicons?domain=Victim dominio" >

ataques de phishing que explotan archivos adjuntos gráficos SVG

El uso de archivos adjuntos maliciosos en ataques de Phishing, con texto mínimo o nulo en el cuerpo del correo electrónico, está aumentando. Los analistas de amenazas han visto ataques utilizando PDF, HTML, HTM, documentos de Word, archivos de Excel y archivo ZIP.

A medida que las herramientas de detección mejoran, los atacantes continúan adaptando sus métodos de ataque, y los analistas de BARRACUDA amenaza han notado recientemente un cambio hacia el uso de adjuntos SVG (Scalable Vector Graphics) en ataques de Phishing. Algunos de estos ataques se llevan a cabo utilizando plataformas populares de Phishingcomo servicio (PhaaS), como Tycoon 2FA.

SVG es un tipo de formato de imagen que es ideal para sitios web porque las imágenes se pueden hacer más grandes o más pequeñas sin perder la calidad de la resolución. Los archivos SVG generalmente se escriben en XML compatible con la web.

Según los analistas de BARRACUDA, los archivos SVG se están convirtiendo en un método popular para entregar cargas útiles maliciosas debido a su capacidad para contener scripts incrustados, que no parecen sospechosos para las herramientas de seguridad.

En las muestras analizadas por BARRACUDA, los ataques son del tipo tradicional de "transferencia urgente de fondos" o diseñados para robar credenciales de Microsoft. En ataques más complejos, al abrir el archivo adjunto del correo electrónico se desencadena la descarga de un archivo malicioso o ZIP.

Ejemplo de un ataque de Phishing explotando archivos SVG

Si se detecta un entorno sandbox, los atacantes redirigen a las "víctimas" a un sitio web de compras legítimo popular.

Señales a las que hay que prestar atención

  • Si un correo electrónico tiene un archivo . Adjunto SVG con enlaces en los que se puede hacer clic, evite interactuar con el archivo adjunto.
  • Otras señales de alerta incluyen archivos SVG que solicitan la descarga de archivos adicionales y la aparición de advertencias del navegador o alertas de seguridad al abrir el archivo.

Cómo Barracuda Email Protection puede ayudar a su organización

Barracuda Email Protection ofrece un conjunto completo de funciones diseñadas para defenderse contra amenazas avanzadas de correo electrónico.

Incluye capacidades como correo electrónico Gateway Defense, que protege contra Phishing y Malware, y protección contra la suplantación de identidad, que protege contra ataques Social Engineering.

Además, proporciona respuesta a incidentes y protección de Fraud de dominio para mitigar los riesgos asociados con cuentas comprometidas y dominios fraudulentos. El servicio también incluye Cloud-to-Cloud Backup y formación en concienciación sobre la seguridad para mejorar la postura general de seguridad del correo electrónico

BARRACUDA combina la inteligencia artificial y la integración profunda con Microsoft 365 para proporcionar una solución integral basado/a en la nube que protege contra ataques de Phishing y suplantación (de identidad) hiperdirigidos potencialmente devastadores.

Más información disponible aquí.

Obtén una seguridad completa del correo electrónico
Publicaciones relacionadas:
Barracuda ha sido nombrada finalista de los Premios SC 2025 en múltiples categorías: las ofertas de Managed XDR, Protección de Correo Electrónico y Protección de Datos han sido reconocidas.
Barracuda ha sido nombrada finalista de los Premios SC 2025 en múltiples categorías: las ofertas de Managed XDR, Protección de Correo Electrónico y Protección de Datos han sido reconocidas.
 Threat Spotlight: Los buenos, los malos y los «bots grises»: los bots raspadores de IA generativa que atacan sus aplicaciones web
Threat Spotlight: Los buenos, los malos y los «bots grises»: los bots raspadores de IA generativa que atacan sus aplicaciones web
 Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’
Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’
 La responsabilidad de la seguridad de la infraestructura crítica cambia
La responsabilidad de la seguridad de la infraestructura crítica cambia
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.