Un actor de amenazas desconocido ha sido vinculado a una campaña de estafa masiva que aprovechó una mala configuración del enrutamiento de correo electrónico en las defensas del proveedor de seguridad de correo electrónico Proofpoint para enviar millones de mensajes haciéndose pasar por varias compañías populares como Best Buy, IBM, Nike y Walt Disney, entre otras.
“Estos correos electrónicos provienen de retransmisiones de correo electrónico oficiales de Proofpoint con firmas SPF y DKIM autenticadas, evitando así protecciones de seguridad clave, todo para engañar a los destinatarios y robar fondos e información de tarjetas de crédito”, dijo Nati Tal, investigadora de Guardio Labs. dicho en un informe detallado compartido con The Hacker News.
La empresa de ciberseguridad nombró la campaña Suplantación de ecoSegún se informa, la actividad comenzó en enero de 2024, cuando el actor de amenazas aprovechó la falla para enviar hasta tres millones de correos electrónicos por día en promedio, una cifra que alcanzó un máximo de 14 millones a principios de junio, cuando Proofpoint comenzó a implementar contramedidas.
“La parte más singular y poderosa de este dominio es el método de suplantación de identidad, que casi no deja ninguna posibilidad de darse cuenta de que no se trata de un correo electrónico real enviado por estas empresas”, dijo Tal a la publicación.
“Este concepto de EchoSpoofing es realmente poderoso. Es bastante extraño que se utilice para campañas de phishing a gran escala como esta en lugar de una campaña boutique de phishing, donde un atacante puede asumir rápidamente la identidad de cualquier miembro real del equipo de la empresa y enviar correos electrónicos a otros colegas. Con el tiempo, mediante ingeniería social de alta calidad, puede acceder a datos o credenciales internos e incluso comprometer a toda la empresa.
La técnica, que consiste en que el actor de la amenaza envíe mensajes desde un servidor SMTP a un servidor privado virtual (VPS), destaca por cumplir con medidas de autenticación y seguridad como SPF y DKIM, que son abreviaturas de Sender Policy Framework y DomainKeys Identified Mail respectivamente, y se refieren a métodos de autenticación diseñados para evitar que los atacantes se hagan pasar por un dominio legítimo.
Todo esto se reduce a que estos mensajes se enrutan desde varios inquilinos de Microsoft 365 controlados por el adversario, que luego se transmiten a través de las infraestructuras de correo electrónico de los clientes empresariales de Proofpoint para llegar a los usuarios de proveedores de correo electrónico gratuitos como Yahoo!, Gmail y GMX.
Este es el resultado de lo que Guardio describió como un “fallo de configuración superpermisivo” en los servidores de Proofpoint (“pphosted.com”) que esencialmente permitía a los spammers aprovechar la infraestructura de correo electrónico para enviar mensajes.
“La causa principal es una función de configuración de enrutamiento de correo electrónico editable en los servidores de Proofpoint para permitir que los mensajes salientes de las organizaciones se transmitan desde los inquilinos de Microsoft 365, pero sin especificar qué inquilinos de M365 permitir”, dijo Proofpoint. dicho en un informe de divulgación coordinado compartido con The Hacker News.
“Los spammers pueden abusar de cualquier infraestructura de correo electrónico que proporcione esta funcionalidad de configuración de enrutamiento de correo electrónico. »
En otras palabras, un atacante puede aprovechar esta falla para configurar inquilinos maliciosos de Microsoft 365 y transmitir mensajes de correo electrónico falsos a los servidores de retransmisión de Proofpoint, donde se “envían” como misivas digitales reales disfrazadas de dominios de clientes.
Esto se logra configurando el conector de correo electrónico saliente del servidor Exchange directamente al punto final vulnerable “pphosted.com” asociado con el cliente. Además, una versión pirateada de un software legítimo de entrega de correo electrónico llamado PowerMTA Se utiliza para enviar mensajes.
“El spammer utilizó una serie rotativa de servidores privados virtuales (VPS) alquilados a múltiples proveedores, utilizando muchas direcciones IP diferentes para lanzar ráfagas rápidas de miles de mensajes a la vez desde sus servidores SMTP, enviados a Microsoft 365 para ser retransmitidos a los servidores del cliente. alojado por Proofpoint”, dijo Proofpoint.
“Microsoft 365 aceptó estos mensajes falsificados y los envió a las infraestructuras de correo electrónico de estos clientes para su retransmisión. Cuando los dominios de los clientes eran falsificados mientras se retransmitían a través de la infraestructura de correo electrónico del cliente correspondiente, la firma DKIM también se aplicaba cuando los mensajes pasaban a través de la infraestructura de Proofpoint, lo que facilitaba la distribución de los mensajes de spam. »
Se sospecha que los operadores eligieron intencionalmente EchoSpoofing como una forma de generar ingresos ilegales y evitar el riesgo de exposición durante largos períodos de tiempo, ya que apuntar directamente a las empresas a través de este modus operandi podría haber aumentado significativamente las posibilidades de ser detectado, por lo tanto poniendo en riesgo todo el sistema.
Dicho esto, aún no está claro quién está detrás de esta campaña. Proofpoint dijo que esta actividad no se superpuso con ningún grupo o actor de amenazas conocido.
“En marzo, los investigadores de Proofpoint identificaron campañas de spam transmitidas por una pequeña cantidad de infraestructuras de correo electrónico de clientes de Proofpoint que enviaban spam desde inquilinos de Microsoft 365”, dijo la compañía en un comunicado. “Todos los análisis indican que esta actividad fue realizada por un actor de spam, cuya actividad no atribuimos a ninguna entidad conocida. »
“Desde que descubrimos esta campaña de spam, hemos trabajado diligentemente para brindar instrucciones correctivas, incluida la implementación de una interfaz administrativa simplificada que permita a los clientes especificar qué inquilinos de M365 pueden transmitir, y todos los demás inquilinos de M365 se rechazan de forma predeterminada. »
Proofpoint destacó que no se filtró ningún dato de los clientes y ninguno de ellos sufrió pérdida de datos como resultado de estas campañas. La compañía también dijo que se comunicó directamente con algunos de sus clientes para cambiar su configuración y detener la efectividad de la actividad de spam de retransmisión saliente.
“Cuando comenzamos a bloquear la actividad del spammer, éste aceleró sus pruebas y rápidamente pasó a otros clientes”, dijo la compañía. “Contamos con un proceso continuo para identificar a los clientes afectados cada día, reorganizando las prioridades de alcance para corregir las configuraciones. »
Para reducir el spam, la organización insta a los proveedores de VPS a limitar la capacidad de sus usuarios para enviar grandes volúmenes de mensajes desde servidores SMTP alojados en su infraestructura. También pide a los proveedores de servicios de correo electrónico que restrinjan las capacidades de los inquilinos no verificados recién creados y de prueba gratuita para enviar mensajes salientes masivos, así como que les impidan enviar mensajes falsificando un dominio que no les pertenece.
“Para los CISO, la principal lección que deben aprender de esta situación es prestar especial atención a la postura de su organización en la nube, particularmente en lo que respecta al uso de servicios de terceros que se convierten en la columna vertebral de la red y los métodos de comunicación de su organización. negocio”, dijo Tal. “Especialmente en el correo electrónico, mantenga siempre un circuito de retroalimentación y control propio, incluso si confía completamente en su proveedor de correo electrónico. »
“En cuanto a otras empresas que brindan este tipo de servicios básicos, al igual que Proofpoint, deben estar alerta y ser proactivas al pensar primero en todos los tipos posibles de amenazas. No sólo ante amenazas que afectan directamente a sus clientes, sino también al público en general.
“Esto es crucial para la seguridad de todos nosotros, y las empresas que crean y operan la columna vertebral de Internet, incluso si son de propiedad privada, tienen la mayor responsabilidad. Como dijo alguien, en un contexto totalmente diferente pero completamente relevante aquí: “Un gran poder conlleva una gran responsabilidad”. »