Hackers atacan 10.000 cuentas de correo haciéndose pasar por FedEx y DHL Express

Los usuarios de cuentas de correo de Microsoft están recibiendo correos electrónicos que dicen ser de las reconocidas empresas de logística FedEx y DHL Express, pero en realidad están diseñados para engañar a los internautas y robar sus credenciales.

Los correos maliciosos se han enviado a más de 10.000 cuentas de Microsoft, y los atacantes alojaron sus cuentas fraudulentas en dominios legítimos como Quip y Google Firebase, lo que les ayudó a pasar desapercibidos ante los filtros de phishing.

Los ataques phishing que enviaban mensajes falsos de FedEx se distribuían con un asunto que decía, en inglés: “Te han enviado un nuevo FedEx”. Le pedían al usuario que revise un documento escaneado. Al pulsar en el enlace, se lo dirigía a un archivo alojado en Quip que le pedía que pulsara en otro enlace. La página final parecía el portal de inicio de sesión de Microsoft, pero estaba alojado en Google Firebase.

“Durante la pandemia, muchos de nosotros hemos estado recibiendo paquetes de pedidos que hicimos por Internet, a menudo sin conocer los datos de contacto del remitente. La correspondencia por correo con FedEx y DHL se ha convertido en una parte de nuestra vida cotidiana”, indicó Preet Kumar, de Armorblox, a Threatpost. Kumar también recalcó que los atacantes están apostando a que las víctimas confíen en la legitimidad de estos correos y reaccionen rápido, de forma automática y sin pensarlo.

El segundo ataque también se propagaba por correo, pero esta vez el mensaje decía provenir del servicio de envíos DHL Express y tenía un asunto en inglés que decía: “Tu paquete ha llegado”. El mensaje le informaba al usuario que había recibido un paquete, pero que hubo problemas al entregarlo por un error en la dirección. Se le pedía que descargara un archivo adjunto para revisar la información del envío. Al hacerlo, se descargaba una tabla que en la parte superior tenía un espacio para colocar los datos de inicio de sesión de Adobe. El espacio pedía la dirección de correo electrónico corporativo de la víctima.

En ambos casos, si la víctima caía en la trampa y colocaba sus credenciales de acceso, aparecía un mensaje de error y se entregaba la información a los ciberdelincuentes.

“Los correos electrónicos que informan de sobre documentos escaneados de FedEx o retrasos en entregas de DHL no son extraordinarios; la mayor parte de los usuarios suele tomar acción rápida ante ellos en vez de estudiarlos en detalle en busca de inconsistencias”, indicaron investigadores de Armorblox.

Fuentes

Hackers hit 10,000 mailboxes in phishing attacks on FedEx and DHL Express SCMagazine
10K Targeted in Phishing Attacks Spoofing FedEx, DHL Express Dark Reading
10K Microsoft Email Users Hit in FedEx Phishing Attack ThreatPost