Correos con asunto 'Nuevo Voicemail' intentan robar credenciales corporativas

ESET, compañía líder en detección proactiva de amenazas, identificó una nueva campaña de spear phishing con el asunto "Nuevo Voicemail", cuyo objetivo es robar credenciales corporativas de correo electrónico, principalmente de Outlook. La estrategia utilizada por los ciberdelincuentes se destaca por su alto nivel de personalización, lo que incrementa la efectividad del engaño.

La compañía de ciberseguridad alertó que esta campaña fraudulenta está dirigida a sectores específicos dentro de las empresas, como Administración, Recursos Humanos o Comunicación, y emplea técnicas avanzadas como el email spoofing, que consiste en falsificar la dirección del remitente para hacer creer al usuario que el correo proviene de su propia cuenta.

Un ataque altamente personalizado

Según el análisis realizado por el Laboratorio de ESET Latinoamérica, los atacantes investigan previamente a sus víctimas para hacer que los correos parezcan legítimos y confiables. Además, uno de los elementos más distintivos de esta campaña es el uso de un archivo .SVG (Scalable Vector Graphic) como adjunto, una técnica que dificulta la detección de amenazas por parte de los filtros de seguridad tradicionales.

El nombre del archivo malicioso sigue un patrón específico: "new voicemail" seguido del dominio de la empresa atacada, con el fin de reforzar la sensación de autenticidad. Cuando el usuario descarga y abre este archivo, el navegador lo redirige a una página fraudulenta que se hace pasar por el portal de inicio de sesión de Outlook.

Cómo funciona el engaño

Para esta campaña, los ciberdelincuentes utilizan el sitio de phishing https[:]//voizemaiil.plnlon.eu, cuya dirección está codificada en base64 para evadir los sistemas de detección. Una vez en la página falsa, se le solicita a la víctima ingresar sus credenciales de correo para escuchar el supuesto mensaje de voz. Sin embargo, al hacerlo, los datos son enviados directamente al servidor controlado por los atacantes.

Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica, advirtió en declaraciones para NotiPress sobre la sofisticación de estos ataques: "Es importante tener en cuenta que el spear phishing, básicamente, se aprovecha de las vulnerabilidades humanas: con mensajes muy personalizados. Este tipo de ataque logra engañar incluso a los usuarios más atentos. Puede adoptar diversas formas, desde un correo electrónico, un mensaje privado hasta una llamada telefónica".

Amaya expuso el alcance que estos ataques pueden tener. "Las consecuencias para las empresas pueden ser desde el robo de datos bancarios e información personal de sus colaboradores, hasta el acceso a redes corporativas para realizar espionaje o sabotaje, o instalar malware (como ransomware) en dispositivos y sistemas", sostuvo.

Medidas de prevención para evitar ser víctima

Frente a la creciente amenaza del spear phishing, ESET recomienda implementar las siguientes prácticas de ciberseguridad para mitigar riesgos:

Verificar la autenticidad de los correos electrónicos: Se debe sospechar de mensajes inesperados que soliciten credenciales o información confidencial. Evitar hacer clic en enlaces desconocidos: Es recomendable pasar el cursor sobre los enlaces antes de hacer clic para comprobar si la dirección es legítima. Utilizar doble factor de autenticación (2FA): Esto añade una capa extra de seguridad en caso de que las credenciales sean comprometidas. Mantener los sistemas actualizados: Las actualizaciones de software corrigen vulnerabilidades que pueden ser explotadas por atacantes. Implementar soluciones de seguridad avanzadas: Contar con herramientas de protección contra malware y phishing puede prevenir ataques antes de que lleguen a los usuarios.

Ante la creciente sofisticación de estas campañas se refuerza la necesidad de fortalecer las medidas de seguridad en entornos corporativos y capacitar a los empleados para detectar intentos de fraude. Estar informado y alerta es clave para evitar caer en este tipo de engaños cibernéticos.