Ciberseguridad 360 | Salesforce Zero-Day explotado para phishing de credenciales de Facebook

Los atacantes fueron detectados recientemente explotando una falla de d�a cero en los servicios de correo electr�nico y SMTP de Salesforce en una sofisticada campa�a de phishing destinada a robar las credenciales de los usuarios de Facebook.

Los investigadores de Guardio detectaron ciberatacantes que enviaban correos electr�nicos de phishing dirigidos con direcciones @salesforce.com utilizando la infraestructura leg�tima de Salesforce. Una investigaci�n revel� que pudieron explotar una falla de validaci�n de correo electr�nico de Salesforce para esconderse detr�s del estado de confianza del dominio con usuarios y protecciones de correo electr�nico por igual.

El remitente de los correos electr�nicos afirmaba ser "Metaplataformas" y los mensajes inclu�an enlaces leg�timos a la plataforma de Facebook, lo que reforzaba a�n m�s la legitimidad.

"Es obvio por qu� hemos visto este correo electr�nico deslizarse a trav�s de los mecanismos tradicionales antispam y antiphishing", se�alaron en la publicaci�n Oleg Zaytsey y Nati Tal de Guardio Labs . "Incluye enlaces leg�timos (a facebook.com) y se env�a desde una direcci�n de correo electr�nico leg�tima de @salesforce.com, uno de los principales proveedores de CRM del mundo".

Los mensajes dirig�an a los destinatarios a trav�s de un bot�n a un dominio leg�timo de Facebook, apps.facebook.com, donde se modific� el contenido para informarles que hab�an violado los t�rminos de servicio de Facebook. Desde all�, otro bot�n conduc�a a una p�gina de phishing que recopilaba datos personales, incluidos el nombre completo, el nombre de la cuenta, la direcci�n de correo electr�nico, el n�mero de tel�fono y la contrase�a.

No obstante, "no hay evidencia de impacto en los datos de los clientes", dijo Salesforce a Guardio. La falla, mientras tanto, ha sido arreglada.

Abuso de juegos de Facebook discontinuados

En el lado de Facebook, los atacantes abusaron de apps.facebook.com al crear un juego de aplicaci�n web, que permite lienzos personalizados. Facebook ha descontinuado la capacidad de crear lienzos de juegos heredados, pero los juegos existentes que se desarrollaron antes del final de la funci�n fueron protegidos. Parece que los actores maliciosos abusaron del acceso a estas cuentas, dijeron los investigadores.

Al hacer esto, podr�an "insertar contenido de dominio malicioso directamente en la plataforma de Facebook, presentando un kit de phishing dise�ado espec�ficamente para robar cuentas de Facebook que incluye eludir el mecanismo de autenticaci�n de dos factores (2FA)", dijeron los investigadores, y agregaron que la empresa matriz de Facebook, Meta "r�pidamente elimin� las cuentas mal�volas y el juego web".

?Estamos haciendo un an�lisis de causa ra�z para ver por qu� nuestras detecciones y mitigaciones para este tipo de ataques no funcionaron?, dijo el equipo de ingenier�a de Meta a Guardio, seg�n la publicaci�n.

Protecci�n de puertas de enlace de correo leg�timas

La prevalencia de los ataques de phishing y las estafas sigue siendo alta , y los atacantes encuentran formas de darle un nuevo giro y aumentar la sofisticaci�n de un viejo tipo de ingenier�a social que a�n funciona. De hecho, a menudo se usa como punto de entrada inicial a las redes corporativas para lanzar ransomware y otros ataques.

Un aspecto emergente y preocupante de las campa�as recientes es la explotaci�n de servicios aparentemente leg�timos, como CRM como Salesforce, plataformas de marketing y espacios de trabajo basados ??en la nube para llevar a cabo actividades maliciosas, se�alaron los investigadores: "Esto representa una brecha de seguridad significativa, donde los tradicionales los m�todos a menudo tienen dificultades para seguir el ritmo de las t�cnicas avanzadas y en evoluci�n empleadas por los actores de amenazas".

Los proveedores de servicios, entonces, deben intensificar su juego de seguridad para evitar que se abuse de estas plataformas en estafas de phishing que explotan puertas de enlace de correo seguras y de buena reputaci�n. Los pasos para hacer esto incluyen reforzar los procesos de verificaci�n para garantizar la legitimidad de los usuarios, as� como realizar un an�lisis completo y continuo de la actividad para identificar r�pidamente cualquier uso indebido del portal, ya sea a trav�s de un volumen excesivo o mediante el an�lisis de metadatos, como listas de correo y caracter�sticas del contenido.

Fuente: darkreading.com