El Instituto SANS, una organización de capacitación en ciberseguridad, sufrió una violación de datos después de que uno de sus empleados fuera víctima de un ataque de phishing.

El Instituto SANS es una de las mayores organizaciones de formación para profesionales de la seguridad de la información en todo el mundo, se ha visto afectada por un ciberataque. Los atacantes obtuvieron acceso a los datos de SANS después de que uno de sus empleados de recursos humanos cayera en un ataque de phishing.

El 11 de agosto SANS informó que un atacante obtuvo acceso a la cuenta de correo electrónico de uno de los empleados y configuró la redirección de toda la correspondencia recibida en el buzón a otra dirección, y también instaló un complemento malicioso para Office 365.

Como resultado, los piratas informáticos recibieron 513 cartas, que contenían un total de aproximadamente 28.000 registros de información personal de los miembros de SANS. Esta información no incluye contraseñas o información financiera como tarjetas de crédito. Los datos incluyen direcciones de correo electrónico, nombres completos, números de teléfono, cargos, nombres de empresas y direcciones físicas.

Según una investigación de SANS, el ataque comenzó con un correo electrónico de phishing que afirmaba ser un archivo enviado por el servicio SANS SharePoint.

El archivo se tituló “Copia de la bonificación de julio 24JUL2020.xls” y un correo electrónico solicitó al usuario que hiciera clic en el botón “Abrir” para acceder al archivo.

Correo electrónico de phishing
El mensaje de phishing que usaron los delincuentes

Al hacer clic en el botón, se abre el navegador predeterminado con la dirección “https: //officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws [.] Com / index.html”, que solicita al usuario que ingrese sus credenciales de Office 365.

Al mismo tiempo se instaló un complemento malicioso para Microsoft Office OAuth, llamado Enable4Excel.

La página de login de Microsoft

Una vez instalado, agrega una nueva regla de reenvío llamada Regla Anti-Spam que monitorea palabras clave específicas en los correos electrónicos. Si se encuentra una palabra clave en el correo electrónico, será redirigida a la de dirección externa daemon [@] daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.

Aquí hay una lista de palabras clave rastreadas:

agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring info

Según la información de VirusTotal, la campaña de phishing se lanzó el 24 de julio de 2020. SANS no fue el único objetivo, al menos otras dos empresas han subido correos electrónicos similares a VirusTotal.