Cibercriminales exponen por error las contraseñas robadas en una operación de phishing

Cibercriminales han expuesto miles de contraseñas que consiguieron mediante una campaña de phishing que afectó a las industrias de energía y construcción. Los atacantes almacenaron los datos robados en servidores públicos por error, permitiendo incluso que los motores de búsqueda puedan indexar los datos y mostrarlos entre sus resultados.

La amenaza fue descubierta por la compañía de seguridad Check Point, que trabajó con la empresa israelí de ciberseguridad industrial Otorio. Check Point compartió en su blog los pormenores de este “simple error en su cadena de ataques”, que fue causado por un descuido al asegurar los archivos para subirlos a los sitios web que debían recibir los datos robados.

Los atacantes, que no han sido identificados, propagaban correos phishing con archivos adjuntos maliciosos que estaban diseñados de tal manera que la seguridad de Microsoft Office 365 Advanced Threat Protection los pasara por alto. Asimismo, el código JavaScript malicioso que instalaba era capaz de burlar a los programas de seguridad para seguir propagando spam y extrayendo las contraseñas de sus víctimas.

Por si esto fuera poco, los atacantes enviaban los correos fraudulentos desde direcciones de correo legítimas que, antes de este incidente, tenían una buena reputación, lo que hacía que sus mensajes llegaran a destino sin ser filtrados por las defensas de phishing y spam.

Fue un ataque exitoso que logró conseguir más de 1.000 credenciales de acceso a cuentas vinculadas en su mayoría a industrias de energía y construcción, pero en menor medida también a sectores de seguridad informática, salud y bienes raíces.

Pero los delincuentes cometieron un error: almacenaron su botín robado en servidores públicos de dominios comprometidos de WordPress, que lo dejaba al alcance de cualquier usuario y motor de búsqueda. Es más, los buscadores podían indexar las contraseñas robadas para mostrarlas entre sus resultados, de forma abierta en Internet.

Este descuido puso en un peligro aun mayor la privacidad de los datos de las víctimas, pero también arriesgó el éxito de las operaciones de los delincuentes: cualquier investigador de seguridad o víctima del ataque podría haber descubierto el repositorio de datos robados y saboteado los planes de monetizarlos, o cibercriminales de grupos rivales podrían haberse adelantado a vender la información.

El jueves, cuando los investigadores de seguridad dieron la voz de alarma sobre esta amenaza, todavía se podían encontrar algunos de los datos robados en búsquedas simples de Internet.

Fuentes

This phishing scam left thousands of stolen passwords exposed through Google search ZDNet
Phishing scam had all the bells and whistles—except for one Ars Technica
A phishing campaign’s collateral damage: Stolen passwords were publicly searchable Cyber Scoop