Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarLa campaña de phishing aprovechó la falla de Salesforce para atacar a los usuarios de Facebook
Inicio » Security Boulevard (Original) » Campaña de phishing aprovechó la falla de Salesforce para atacar a los usuarios de Facebook
Actores malignos desconocidos ejecutaron una sofisticada campaña de phishing que aprovechó una falla de día cero en los servicios de correo electrónico de Salesforce, lo que permitió a los piratas informáticos esconderse detrás de la legitimidad del gigante de la nube mientras intentaban robar información de las cuentas de Facebook.
Aprovechando una vulnerabilidad que los investigadores de Guardio Labs denominaron “PhishForce”, los atacantes crearon correos electrónicos que parecían provenir de Meta, la empresa matriz de Facebook, e incluían el dominio “@salesforce.com”, lo que les permitió burlar las protecciones de seguridad tradicionales como puertas de enlace y filtros.
Los nombres Meta y Salesforce le dan al mensaje un aire de confiabilidad y es más probable que el usuario objetivo haga clic en el correo electrónico.
"Así que no hay que pensar por qué hemos visto este correo electrónico pasar por los mecanismos tradicionales antispam y antiphishing", escribieron en un informe los investigadores de Guardio Labs, Oleg Zaytsev y Nati Tal. "Incluye enlaces legítimos (a facebook.com) y se envía desde una dirección de correo electrónico legítima de @salesforce.com, uno de los principales proveedores de CRM [de gestión de relaciones con los clientes] del mundo".
Los servicios de puerta de enlace de correo electrónico, como el servicio Salesforce del que se abusa en esta campaña, envían regularmente cantidades masivas de correos electrónicos para todo, desde presentaciones de productos hasta anuncios. Esto ayuda a los actores de amenazas que envían correos electrónicos maliciosos a través de dichos servicios legítimos, brindándoles "no solo volumen sino también acceso a la reputación de esas puertas de enlace, generalmente haciendo que sus IP y dominios se incluyan en la lista blanca de una organización o incluso de toda la red", escribieron los investigadores. .
El correo electrónico de phishing que llegó al buzón del objetivo los mencionaba por su nombre, diciéndoles que su cuenta de Facebook estaba siendo investigada debido a "sospechas de suplantación de identidad" e incrustaba un cuadro azul en la parte inferior de la página en el que el usuario podía hacer clic. “solicitar una revisión”.
Al hacerlo, los envió a una página de destino alojada como un juego en la plataforma de aplicaciones de Facebook y utiliza el dominio apps.facebook.com. Este es otro paso para convencer al usuario de la legitimidad del correo electrónico. Es aquí donde los atacantes roban las credenciales de la cuenta de Facebook y la información de autenticación de dos factores (2FA).
La función Email Gateway de Salesforce es parte de su sistema CRM más amplio y permite a los clientes enviar notificaciones y mensajes masivos por correo electrónico. Antes de enviar algo, Salesforce hace que los clientes se validen verificando una dirección de correo electrónico para asegurarse de que son propietarios del nombre de dominio bajo el cual se envían sus mensajes masivos.
"Solo hacer clic en el enlace de verificación enviado a la bandeja de entrada de su correo electrónico deseado le dará al backend de Salesforce el permiso para configurar los correos electrónicos salientes en consecuencia", escribieron Zaytsev y Tal.
Dicho esto, los investigadores inicialmente no pudieron descubrir cómo los piratas informáticos podían superar las características de seguridad que dificultaban mucho que el servicio de correo electrónico Salesforce enviara un correo electrónico de verificación. Descubrieron que los atacantes podían manipular la función Email-to-Case de Salesforce, que las empresas utilizan para convertir automáticamente los correos electrónicos entrantes en tickets procesables para sus equipos de soporte.
Los investigadores dijeron que es una característica común utilizada sólo para los correos electrónicos entrantes, pero de alguna manera los piratas informáticos pudieron enviar mensajes utilizando la dirección exacta. Obtuvieron el control de una dirección de correo electrónico generada por Salesforce al crear un nuevo flujo de correo electrónico para casos y luego la verificaron como una "dirección de correo electrónico para toda la organización", con Mass Mailer Gateway de Salesforce utilizando la dirección en el flujo saliente oficial. Luego, los piratas informáticos utilizaron esa dirección para verificar la propiedad del nombre de dominio.
Con la verificación en mano, podrían usar la dirección de correo electrónico de Salesforce para enviar mensajes que eludieran otras protecciones antiphishing y antispam.
Saeed Abbasi, gerente de investigación de vulnerabilidades y amenazas de la empresa de ciberseguridad Qualys, dijo a Security Boulevard que el ataque "no fue una simple estafa por correo electrónico sino un complejo entrelazamiento de vulnerabilidades en múltiples plataformas y servicios".
"Los aspectos inusuales aquí se centran en la explotación inteligente de sistemas conocidos (Salesforce y Facebook), el encadenamiento de diferentes vulnerabilidades para construir un ataque más efectivo y la necesidad de una vigilancia constante y adaptabilidad en las medidas de ciberseguridad para hacer frente a amenazas en evolución". Dijo Abbasi. "Este truco ilustra la continua evolución de las técnicas de phishing".
Después de que Guardio Labs le notificara que el exploit se estaba utilizando en la naturaleza, Salesforce solucionó el problema.
Meta también fue notificada. Un problema es que en 2020 la compañía retiró la función de juegos web de Facebook, pero los piratas informáticos de PhishForce aún podían insertar contenido malicioso, incluido el kit de phishing, directamente en la plataforma.
Zaytsev y Tal dijeron que, según los documentos Meta, “todavía es posible conservar el soporte para juegos heredados que se desarrollaron antes de que esta característica desapareciera. En consecuencia, parece que el acceso a estas cuentas podría resultar valioso para actores maliciosos, aumentando así el valor de las cuentas robadas asociadas con aplicaciones de juegos”.
Los equipos de ingeniería y seguridad de Meta eliminaron las cuentas maliciosas y le dijeron a Salesforce que están ejecutando un análisis de la causa raíz para comprender por qué las detecciones y mitigaciones que tienen implementadas para este tipo de ataques no funcionaron.
Los investigadores de Guardio Labs dijeron que la capacidad de los piratas informáticos para explotar servicios legítimos como CRM, plataformas de marketing y espacios de trabajo basados en la nube para lanzar phishing y otros ataques es una "brecha de seguridad importante, donde los métodos tradicionales a menudo luchan por seguir el ritmo de las técnicas avanzadas y en evolución". empleado por actores de amenazas”.
Responsabilizan a los proveedores de servicios de implementar medidas, como procesos de verificación mejorados y análisis para detectar actividad maliciosa, para evitar que los malos actores puedan abusar de las puertas de enlace de correo.