Barracuda full logo

Radar de Amenazas de Correo Electrónico – Abril 2025

Temas:
29 abr 2025
|
Threat Analyst Team

Durante el último mes, los analistas de amenazas de Barracuda identificaron varias amenazas notables basadas en correo electrónico que apuntan a organizaciones de todo el mundo y están diseñadas para evadir la detección y aumentar las posibilidades de éxito, incluyendo:

  • Ataques de correo electrónico que apuntan a víctimas con invitaciones de calendario tóxicas
  • Kits de phishing que abusan de una plataforma de intercambio de archivos de confianza
  • Phishing por correo de voz que regresa después de varios meses de declive

Las invitaciones de calendario tóxicas son otra trampa de correo electrónico para las víctimas

Instantánea de la amenaza

Los analistas de amenazas de Barracuda han detectado el kit de phishing Sneaky 2FA distribuyendo invitaciones de calendario envenenadas en un ataque diseñado para robar credenciales de usuario.

Los archivos adjuntos ICS (iCalendar) funcionan en diferentes plataformas como Google Calendar, Microsoft Outlook y Apple Calendar. Esta compatibilidad hace que los archivos ICS (.ics) sean populares para programar eventos, reuniones y citas entre organizaciones. Son particularmente útiles para reuniones virtuales, ya que pueden contener URLs para videollamadas o documentos relacionados.

En el ataque observado por los analistas de amenazas de Barracuda, el cuerpo del correo electrónico está vacío, y solo hay un enlace a un archivo ICS que parece ser una invitación de calendario legítima. El archivo contiene algunos detalles del evento, así como un enlace de phishing que afirma llevar al destinatario a una factura impaga.

Example malicious calendar invite
Cuando el destinatario abre la invitación, hay un enlace que apunta a la plataforma legítima de Monday, donde se aloja el contenido de phishing.
Example code from malicious calendar invitation
A la víctima se le presenta una verificación CAPTCHA y necesita hacer clic en "ver documento", lo que la redirige a una página de phishing diseñada para robar sus credenciales de Microsoft.
Example phishing page

Señales a tener en cuenta

  • Cualquiera de las siguientes: una invitación a una reunión que no esperas, de alguien que no conoces o de quien no escuchas a menudo, para discutir algo de lo que no estás al tanto, y sin contexto ni mensaje de presentación, debería activar la alarma. Informa del mensaje a tu equipo de seguridad y verifica directamente con el remitente si es apropiado para confirmar si el mensaje es legítimo.
  • El uso de invitaciones de calendario en ataques de phishing está en aumento, con varios informes de invitaciones de Google Calendar siendo falsificadas en campañas de phishing. 
  • Dado que los archivos ICS a menudo se consideran inofensivos y no todas las herramientas de seguridad pueden detectar invitaciones maliciosas, esto representa una nueva oportunidad — al menos por un tiempo — para que los atacantes eludan los controles de seguridad y atrapen a las víctimas.

Los kits de phishing abusan de ShareFile para lanzar cientos de ataques

Instantánea de la amenaza

Los analistas de amenazas de Barracuda han detectado varios cientos de ataques por parte de notorios kits de phishing que aprovechan la plataforma legítima de intercambio de documentos ShareFile.

Los kits están alojando formularios de inicio de sesión falsos en ShareFile y enviando URLs de ShareFile a posibles víctimas.

Esta no es la primera vez que los analistas de amenazas de Barracuda encuentran contenido de phishing alojado en ShareFile, pero su uso por parte de plataformas prominentes de phishing como servicio (PhaaS) es un nuevo desarrollo. Esta táctica parece ser la última de una larga serie de adaptaciones por parte de grupos de PhaaS para evadir la detección, aumentar el sigilo y asegurar la supervivencia de las campañas de phishing.

Los kits que alojan contenido en ShareFile son los avanzados y rápidamente evolucionados Tycoon 2FA y Mamba 2FA. Barracuda recientemente informó sobre el comportamiento de Tycoon 2FA y otras plataformas PhaaS en ascenso. Mamba 2FA sigue un enfoque similar.

Mamba 2FA — otro PhaaS 'Más Buscado'

Mamba 2FA apunta a usuarios de Microsoft 365 y puede interceptar códigos de un solo uso y cookies de autenticación para eludir la autenticación multifactor. 

Las técnicas de evasión incluyen el uso de servidores proxy y enlaces de phishing de corta duración y rotativos que ayudan a evitar la inclusión en listas negras, archivos adjuntos HTML con contenido basura para evitar la detección por herramientas de seguridad, y detección de sandbox que envía tráfico no deseado — como herramientas de escaneo de seguridad — a un sitio no relacionado como páginas web 404 de Google.

El método de ataque de ShareFile

Los correos electrónicos de phishing generalmente suplantan a SharePoint o DocuSign y presentan una notificación de intercambio de archivos y un enlace que los llevará a un documento falso alojado en ShareFile. 

Example of a ShareFile attack

Debido a que el correo electrónico incluye una URL legítima de ShareFile, el mensaje no genera ninguna preocupación de seguridad. Y dado que los destinatarios conocen y confían en la plataforma, también es más probable que hagan clic en el enlace e ingresen los datos de inicio de sesión solicitados.

Señales a tener en cuenta

  • Como se mencionó anteriormente, un correo electrónico que no esperas, de alguien de quien no escuchas a menudo y sobre un tema que no es habitual para ti, debería activar las alarmas.
  • Lo mismo ocurre con un correo electrónico de ShareFile cuando tu organización generalmente no usa ShareFile.
  • Informa del mensaje a tu equipo de seguridad y verifica directamente con el remitente si es apropiado para confirmar si el mensaje es legítimo.
  • Si el correo electrónico incluye un enlace que te dirige a una página de inicio de sesión de Microsoft o Google, verifica que sea una página de inicio de sesión legítima. Evita ingresar tus credenciales si sospechas que la página podría ser falsa o maliciosa.

El phishing basado en formularios de correo de voz vuelve a aumentar

Instantánea de la amenaza

Desde febrero, los analistas de amenazas de Barracuda han observado un aumento en la detección de ataques de phishing por correo electrónico basados en correo de voz, o vishing, después de un período de declive. Los ataques afirman ser alertas de correo de voz, y cuando el destinatario hace clic en el enlace para reproducir el mensaje, son llevados a un formulario en línea alojado en plataformas legítimas, como Monday y Zoho, donde necesitan ingresar sus credenciales.

Example voicemail-based phishing

Otros ataques de vishing detectados recientemente involucraron a Mamba 2FA y Tycoon 2FA, uno de los cuales utilizó la plataforma de redes sociales profesional LinkedIn como parte de la redirección de URL.

Señales a tener en cuenta

  • Como se mencionó anteriormente, la luz de advertencia debería encenderse si el remitente, la naturaleza y el contenido declarado del mensaje son inesperados o no solicitados. Siempre verifica la fuente si realmente parece genuina.
  • Otra señal de alerta es cualquier presión para actuar o responder rápidamente o cualquier tipo de amenaza velada.

Cómo Barracuda Email Protection puede ayudar a tu organización

Barracuda Email Protection ofrece un conjunto completo de características diseñadas para defenderse contra amenazas avanzadas de correo electrónico.

Incluye capacidades como Email Gateway Defense, que protege contra phishing y malware, y Impersonation Protection, que salvaguarda contra ataques de ingeniería social.

Además, proporciona Incident Response y Domain Fraud Protection para mitigar los riesgos asociados con cuentas comprometidas y dominios fraudulentos. El servicio también incluye Cloud-to-Cloud Backup y Security Awareness Training para mejorar la postura general de seguridad del correo electrónico.

Barracuda combina inteligencia artificial e integración profunda con Microsoft 365 para proporcionar una solución integral basada en la nube que protege contra ataques de phishing e impersonación potencialmente devastadores y altamente dirigidos.

Más información está disponible aquí.

Obtén seguridad completa de correo electrónico impulsada por IA
Threat Analyst Team

The Threat Analyst Team at Barracuda focuses on detecting, analyzing, and mitigating emerging threats. Dedicated to protecting customers from cyberattacks, the team leverages advanced technologies and threat intelligence to provide actionable insights and proactive defense strategies.

Publicaciones relacionadas:
Barracuda ha sido nombrada finalista de los Premios SC 2025 en múltiples categorías: las ofertas de Managed XDR, Protección de Correo Electrónico y Protección de Datos han sido reconocidas.
Barracuda ha sido nombrada finalista de los Premios SC 2025 en múltiples categorías: las ofertas de Managed XDR, Protección de Correo Electrónico y Protección de Datos han sido reconocidas.
 Threat Spotlight: Los buenos, los malos y los «bots grises»: los bots raspadores de IA generativa que atacan sus aplicaciones web
Threat Spotlight: Los buenos, los malos y los «bots grises»: los bots raspadores de IA generativa que atacan sus aplicaciones web
 Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’
Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’
 La responsabilidad de la seguridad de la infraestructura crítica cambia
La responsabilidad de la seguridad de la infraestructura crítica cambia
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.