Barracuda full logo

amenaza de correo electrónico Radar - Marzo 2025

Temas:
12 mar 2025
|

Durante el último mes, los analistas de BARRACUDA amenazar identificaron varias amenazas notables basadas en correo electrónico dirigidas a organizaciones de todo el mundo, entre ellas:

  • Intentos de extorsión haciéndose pasar por Clop Ransomware
  • Nuevos ataques de la plataforma evasiva y altamente adaptable LogoKitPhishing
  • Una campaña Phishing que aprovecha los archivos adjuntos de imagen SVG

Los atacantes se hacen pasar por Clop Ransomware para extorsionar el pago

Instantánea de Amenaza

¿Por qué tomarse la molestia y el gasto de lanzar un verdadero ataque de Ransomware cuando puedes fingir que lo haces?

Los analistas de amenazas de BARRACUDA descubrieron recientemente un ataque por correo electrónico en el que los estafadores intentaron convencer a los objetivos de que eran Ransomware Clop y que habían violado con éxito la red de la empresa y robado datos confidenciales. Los atacantes amenazaron con exponer la información a menos que las víctimas pagaran una suma no especificada.

Ejemplo de un ataque haciéndose pasar por Clop Ransomware

En su correo electrónico de extorsión, los atacantes afirmaron haber explotado una vulnerabilidad en Cleo, el desarrollador detrás de una serie de plataformas de transferencia de archivos gestionados, como Cleo Harmony, VLTrader y LexiCom. Este método de ataque está ampliamente asociado con Clop Ransomware.

Los atacantes afirmaron que habían obtenido acceso no autorizado a la red de la empresa de las víctimas y que habían descargado y exfiltrado datos del servidor. Para dar autenticidad a sus afirmaciones, señalaron el objetivo a una publicación de blog de los medios de comunicación que informaba sobre cómo Clop había robado datos de 66 clientes de Cleo utilizando este enfoque.

Los atacantes proporcionaron una serie de direcciones de correo electrónico de contacto e instaron a las víctimas a ponerse en contacto.

Señales a las que hay que prestar atención

  • Es probable que el correo electrónico del falso Clop haga referencia a la cobertura de los medios de comunicación sobre los verdaderos ataques de Clop de Ransomware.
  • Si el correo electrónico presenta elementos como un plazo de pago de 48 horas, enlaces a un canal de chat seguro para negociaciones de pago de rescates y nombres parciales de empresas cuyos datos fueron violados, entonces es probable que esté tratando con un RansomwareClop real y debe tomar medidas inmediatas para mitigar el incidente.
  • Si estos elementos están ausentes, es probable que solo estés siendo estafado.

El kit de Phishing LogoKit evade la detección con enlaces únicos e interacción con las víctimas en tiempo real

Instantánea de Amenaza

Los analistas de BARRACUDA se encontraron con la ya consolidada plataforma de Phishingcomo servicio LogoKit que distribuye correo electrónico malicioso que afirma ser sobre el restablecimiento urgente de contraseñas.

LogoKit ha estado activo desde 2022, y sus características y funcionalidad lo ayudan a evadir las defensas de seguridad tradicionales y dificultan significativamente la detección y mitigación.

Entre otras cosas, LogoKit tiene la alarmante capacidad de interactuar en tiempo real con las víctimas. Esto significa que los atacantes pueden adaptar sus páginas Phishing dinámicamente a medida que las víctimas escriben en sus credenciales. LogoKit recupera el logotipo de la empresa de un servicio de terceros, por ejemplo, Clearbit o la base de datos de favicon de Google.

LogoKit es muy versátil. Se integra con servicios de mensajería populares, redes sociales y plataformas de correo electrónico para distribuir sus Phishing. Puede generar páginas Phishing únicas para cada objetivo. Este nivel de versatilidad también dificulta la detección para las defensas de seguridad tradicionales.

En la campaña más reciente vista por los analistas de BARRACUDA amenaza, los atacantes distribuyeron correo electrónico de apariencia auténtica con los encabezados "Se solicitó restablecimiento de contraseña" o "Se requiere una acción inmediata de la cuenta". 

LogoKit ataques de Phishing ejemplo

Estos encabezados crean una sensación de preocupación y urgencia, diseñados para alentar al destinatario a hacer clic rápidamente en el enlace para resolver el supuesto problema. En su lugar, se les redirige a una página de Phishing creada dinámicamente y alojada por LogoKit.

Esta página está diseñada para parecer idéntica al portal de inicio de sesión y a la página de restablecimiento de contraseña del servicio al que las víctimas creen que se están conectando. Se solicita a las víctimas que ingresen su credencial de inicio de sesión, que luego son capturadas por el atacante.

Señales a las que hay que prestar atención

  • El patrón de URL que se va a buscar:
  • https://ExampleURL.#. [ clave + correo electrónico de las víctimas ]
  • https://ExampleURL/[ clave + correo electrónico de las víctimas ]
  • https://ExampleURL.#. [ URL codificada en base64 + correo electrónico de las víctimas ]

Patrón del hipervínculo a Clearbit y Favicon para obtener el logotipo:

  • <img src="https://logo.clearbit.com/Victim dominio" >
  • <img src= "https://www.google.com/s2/favicons?domain=Victim dominio" >

ataques de phishing que explotan archivos adjuntos gráficos SVG

El uso de archivos adjuntos maliciosos en ataques de Phishing, con texto mínimo o nulo en el cuerpo del correo electrónico, está aumentando. Los analistas de amenazas han visto ataques utilizando PDF, HTML, HTM, documentos de Word, archivos de Excel y archivo ZIP.

A medida que las herramientas de detección mejoran, los atacantes continúan adaptando sus métodos de ataque, y los analistas de BARRACUDA amenaza han notado recientemente un cambio hacia el uso de adjuntos SVG (Scalable Vector Graphics) en ataques de Phishing. Algunos de estos ataques se llevan a cabo utilizando plataformas populares de Phishingcomo servicio (PhaaS), como Tycoon 2FA.

SVG es un tipo de formato de imagen que es ideal para sitios web porque las imágenes se pueden hacer más grandes o más pequeñas sin perder la calidad de la resolución. Los archivos SVG generalmente se escriben en XML compatible con la web.

Según los analistas de BARRACUDA, los archivos SVG se están convirtiendo en un método popular para entregar cargas útiles maliciosas debido a su capacidad para contener scripts incrustados, que no parecen sospechosos para las herramientas de seguridad.

En las muestras analizadas por BARRACUDA, los ataques son del tipo tradicional de "transferencia urgente de fondos" o diseñados para robar credenciales de Microsoft. En ataques más complejos, al abrir el archivo adjunto del correo electrónico se desencadena la descarga de un archivo malicioso o ZIP.

Ejemplo de un ataque de Phishing explotando archivos SVG

Si se detecta un entorno sandbox, los atacantes redirigen a las "víctimas" a un sitio web de compras legítimo popular.

Señales a las que hay que prestar atención

  • Si un correo electrónico tiene un archivo . Adjunto SVG con enlaces en los que se puede hacer clic, evite interactuar con el archivo adjunto.
  • Otras señales de alerta incluyen archivos SVG que solicitan la descarga de archivos adicionales y la aparición de advertencias del navegador o alertas de seguridad al abrir el archivo.

Cómo Barracuda Email Protection puede ayudar a su organización

Barracuda Email Protection ofrece un conjunto completo de funciones diseñadas para defenderse contra amenazas avanzadas de correo electrónico.

Incluye capacidades como correo electrónico Gateway Defense, que protege contra Phishing y Malware, y protección contra la suplantación de identidad, que protege contra ataques Social Engineering.

Además, proporciona respuesta a incidentes y protección de Fraud de dominio para mitigar los riesgos asociados con cuentas comprometidas y dominios fraudulentos. El servicio también incluye Cloud-to-Cloud Backup y formación en concienciación sobre la seguridad para mejorar la postura general de seguridad del correo electrónico

BARRACUDA combina la inteligencia artificial y la integración profunda con Microsoft 365 para proporcionar una solución integral basado/a en la nube que protege contra ataques de Phishing y suplantación (de identidad) hiperdirigidos potencialmente devastadores.

Más información disponible aquí.

Obtén una seguridad completa del correo electrónico
Publicaciones relacionadas:
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
 Vuelta al cole, vuelta a las estafas
Vuelta al cole, vuelta a las estafas
 Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.