Los correos electrónicos de phishing están meticulosamente diseñados para parecer notificaciones legítimas de LinkedIn. Utilizan una plantilla desactualizada de LinkedIn anterior a 2020, probablemente para generar confianza en usuarios familiarizados con diseños más antiguos. Además, los mensajes se hacen pasar por solicitudes de cotización de un supuesto director de ventas, incluyendo una imagen de perfil real para aumentar la credibilidad. La empresa mencionada, “DONGJIN Weidmüller Korea Ind.,” combina nombres de compañías legítimas, pero en realidad no existe.
A pesar de su carácter fraudulento, el correo electrónico logra evadir los protocolos de seguridad. La verificación del Sender Policy Framework (SPF) arroja un “softfail”, lo que indica una dirección IP no autorizada, mientras que la ausencia de una firma válida de DomainKeys Identified Mail (DKIM), que normalmente está presente en las comunicaciones legítimas de LinkedIn, refuerza su naturaleza engañosa. Además, una configuración incorrecta de la política DMARC permite que el correo electrónico evada los filtros de Microsoft Defender for Endpoint y llegue a las bandejas de entrada de los usuarios en lugar de ser bloqueado.
El ataque se lleva a cabo cuando los destinatarios hacen clic en los botones “Leer más” o “Responder a”, lo que activa silenciosamente la descarga del instalador del RAT ConnectWise. En lugar de utilizar un comando directo de “descarga”, la campaña se basa en la apariencia de una solicitud comercial legítima, reduciendo la cautela incluso de los usuarios más experimentados con la interfaz de mensajería de LinkedIn.
Este ataque demuestra el creciente nivel de sofisticación de las campañas de phishing y cómo los ciberdelincuentes explotan la confianza en marcas reconocidas para eludir las medidas de seguridad. Si tienen éxito, estos ataques pueden otorgar a los atacantes acceso remoto a sistemas críticos, lo que podría derivar en violaciones de datos, interrupciones operativas y pérdidas financieras. Las organizaciones deben fortalecer los protocolos de autenticación de correo electrónico, capacitar a los empleados para identificar intentos de phishing y adoptar medidas de seguridad avanzadas para mitigar estas amenazas en constante evolución.
Source: eSecurity Planet
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.