>
Trend Micro está monitorizando un nuevo y fuerte ataque que pone de relieve el riesgo, a menudo ignorado, que supone para las empresas el hecho de permitir a los empleados comprobar su webmail personal mientras trabajan.
Recientemente, uno de los miembros del equipo de TrendLabs en Taiwán recibió lo que parecía ser un ataque dirigido a través de webmail. A diferencia de otros ataques basados en el correo electrónico que requieren que los usuarios abran el email, hagan click en el link que incorpora el mensaje o descarguen y ejecuten un archivo adjunto, este ataque se limita a pedir al usuario una vista previa del mensaje en su navegador para poder lanzar el ataque.
A continuación se traduce el texto que contiene el cuerpo del mensaje anterior:
“Asunto: ¿Alguna vez has iniciado sesión en Facebook desde lugar desconocido?
Contenido: Estimado Usuario de Facebook,
Su cuenta de Facebook ha registrado un intento de acceso desde un ordenador o dispositivo o desde un lugar que nunca ha utilizado con anterioridad. Para la protección de la seguridad de su cuenta, antes de que confirme que su cuenta no ha sido hackeada, hemos procedido a su bloqueo temporal.
¿Alguna vez ha iniciado sesión en Facebook desde otro lugar?
Si éste no es su nombre, por favor use su ordenador personal para acceder a Facebook y siga las instrucciones para administrar la información de cuenta.
Si ésta no es su cuenta, por favor, no se preocupe. Proceda a reiniciar la sesión y podrá volver a su propia cuenta.
Para obtener más información, visite nuestro Centro de Asistencia en: … (link)
Gracias,
El equipo de seguridad de Facebook»
Tal y como se apuntaba anteriormente, la vista previa de los mensajes permite la descarga de un script de una URL remota. El script descargado después se inyecta en la página para iniciar el robo de información. La información robada incluye datos sensibles tales como mensajes de email e información de contactos. Junto a esto, y más importante aún es que el script también establece el reenvío de correos electrónicos enviando todos los mensajes de los usuarios a una dirección específica.
El email parece estar especialmente diseñado por un destinatario concreto, en el que su ID de Hotmail es utilizado específicamente en el script malicioso integrado en el correo. Además, la descarga posterior se basa en el ID de Hotmail y un número especificado por el atacante. Cambiar el número puede cambiar la carga útil.
Si un empleado comprueba su correo web personal en el trabajo y es víctima del ataque, el atacante puede acceder a información sensible que podría estar relacionada con la compañía en la que esa persona está trabajando, incluyendo los contactos y los mensajes de correo electrónico. Las empresas deben tomar en serio el riesgo que entrañan éste y otros ataques similares, sobre todo teniendo en cuenta que basta con una vista previa del email para activar y lanzar el ataque.
TrendLabas actualmente está trabajando en un análisis en profundidad del ataque. De todos modos, Trend Micro ya a alertado a los usuarios, a quienes se les aconseja extremar las precauciones al abrir su webmail, especialmente en el trabajo, ya que ataques como estos pueden comprometer la información confidencial.
Trend Micro detecta el script malicioso descargado, que ha identificado como JS_AGENT.SMJ y bloquea la URL maliciosa utilizada en este ataque. Desde aquí, recomendamos a los clientes de Trend Micro que habiliten la Reputación Web en sus productos Trend Micro para evitar ser víctimas de éste y otros ataques similares. Por su parte, aquellos que no son clientes de Trend Micro también pueden protegerse a través de una combinación de herramientas gratuitas como Trend Micro Web Protect Add-on y Browser Guard, o similares.
Bunchtech 