Hackers explotan sitios populares de publicación de documentos para ataques de phishing.

Los actores de amenazas están aprovechando los sitios de publicación de documentos digitales (DDP) alojados en plataformas como FlipSnack, Issuu, Marq, Publuu, RelayTo y Simplebooklet para llevar a cabo phishing, recolección de credenciales y robo de tokens de sesión, lo que subraya una vez más cómo los actores de amenazas están reutilizando servicios legítimos con fines maliciosos.
Alojar señuelos de phishing en sitios DDP aumenta la probabilidad de un ataque de phishing exitoso, ya que estos sitios a menudo tienen una reputación favorable, es poco probable que aparezcan en las listas de bloqueo de filtros web y pueden infundir una falsa sensación de seguridad en los usuarios que los reconocen como familiares o legítimo.
Si bien se han utilizado servicios populares basados en la nube como Google Drive, OneDrive, Dropbox, SharePoint, DocuSign y Oneflow para alojar documentos de phishing en el pasado, el último desarrollo marca una escalada diseñada para evadir los controles de seguridad del correo electrónico. Los servicios DDP permiten a los usuarios cargar y compartir archivos PDF en un formato de libro interactivo basado en navegador, agregando animaciones de cambio de página y otros efectos esqueuomórficos a cualquier catálogo, folleto o revista. Se ha descubierto que los actores de amenazas abusan del nivel gratuito o del período de prueba sin costo que ofrecen estos servicios para crear múltiples cuentas y publicar documentos maliciosos. Además de explotar la reputación favorable de su dominio, los atacantes aprovechan el hecho de que los sitios DDP facilitan el alojamiento de archivos transitorios, lo que permite que el contenido publicado deje de estar disponible automáticamente después de una fecha y hora de vencimiento predefinidas.
 Es más, las funciones de productividad integradas en sitios DDP como Publuu podrían actuar como elemento disuasivo, impidiendo la extracción y detección de enlaces maliciosos en mensajes de phishing. En los incidentes analizados por investigadores, los sitios DDP se integran en la cadena de ataque en la etapa secundaria o intermedia, generalmente incorporando un enlace a un documento alojado en un sitio DDP legítimo en un correo electrónico de phishing. El documento alojado en DDP sirve como puerta de entrada a un sitio externo controlado por el adversario, ya sea directamente haciendo clic en un enlace incluido en el archivo señuelo o mediante una serie de redireccionamientos que también requieren resolver CAPTCHA para frustrar los esfuerzos de análisis automatizados. 
La página de inicio final es un sitio falso que imita la página de inicio de sesión de Microsoft 365, lo que permite a los atacantes robar credenciales o tokens de sesión. “Los sitios DDP podrían representar un punto ciego para los defensores, porque no son familiares para los usuarios capacitados y es poco probable que sean marcados por controles de filtrado de contenido web y correo electrónico”,  informaron expertos. “Los sitios DDP crean ventajas para los actores de amenazas que buscan frustrar las protecciones de phishing contemporáneas. Los actores de amenazas pueden abusar de las mismas características y beneficios que atraen a usuarios legítimos a estos sitios para aumentar la eficacia de un ataque de phishing”.
Fuentes referenciales:

https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites/
http://datasec-soft.com/

/*! elementor - v3.20.0 - 26-03-2024 */ .elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=“.svg”]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}