Hackers hackearon una de las principales empresas de ciberseguridad – detalles
La organización de formación en ciberseguridad SANS Institute sufrió una filtración de datos después de que uno de sus empleados fuera víctima de un ataque de phishing.
SANS Institute, una de las organizaciones más grandes que capacita a especialistas en seguridad de la información en todo el mundo, ha sufrido un ataque cibernético. Los atacantes obtuvieron acceso a los datos de SANS después de que uno de sus empleados de recursos humanos cayera en un ataque de phishing.
El 11 de agosto, SANS informó que el atacante obtuvo acceso a la cuenta de correo electrónico de uno de los empleados y configuró la redirección de toda la correspondencia recibida en el buzón atacado a alguna otra dirección, y también instaló un complemento malicioso para Office 365.
Como resultado, los piratas informáticos recibieron 513 cartas, que contenían un total de unos 28.000 registros de información personal de los miembros de SANS. Esta información no incluye contraseñas ni información financiera como tarjetas de crédito. Los datos incluyen direcciones de correo electrónico, nombres completos, números de teléfono, cargos, nombres de empresas y direcciones físicas.
Según la investigación de SANS, el ataque comenzó con un correo electrónico de phishing que se hacía pasar por un archivo supuestamente enviado por el servicio SANS SharePoint.
El archivo se llamaba "July Bonus Copy 24JUL2020.xls" y el correo electrónico pedía al usuario que hiciera clic en el botón "Abrir" para acceder al archivo.
Al hacer clic en el botón, se abre el navegador predeterminado en "https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html", que solicita al usuario que ingrese sus credenciales de Office 365.
Paralelamente, se instaló un complemento malicioso para Microsoft Office OAuth, llamado Enable4Excel.
Una vez instalado, agrega una nueva regla de reenvío llamada Regla antispam que monitorea palabras clave específicas en los correos electrónicos. Si se encontró una palabra clave coincidente en el correo electrónico, se redirigirá a la dirección externa daemon[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Aquí hay una lista de palabras clave monitoreadas:
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring infoCon base en información de VirusTotal, la campaña de phishing se realizó el 24 de julio de 2020. SANS no fue el único objetivo, al menos otras dos empresas cargaron correos electrónicos similares a VirusTotal.