Los ciberdelincuentes ocultan enlaces de phishing en servidores Sharepoint previamente vulnerados y los distribuyen entre sus víctimas, ya que se trata de un formato más convincente y que elude mejor los filtros antispam. Los expertos de Kaspersky han descubierto más de 1.600 notificaciones maliciosas en Europa, América del Norte y otras regiones.

Los ciberdelincuentes trabajan ininterrumpidamente en eludir los filtros de seguridad que detectan correos de phishing. Hasta ahora, ocultaban los enlaces maliciosos en un servidor SharePoint. Sin embargo, la última tendencia es distribuirlos a través de notificaciones legítimas de este servicio. Las soluciones de seguridad de Kaspersky filtraron más de 1.600 notificaciones maliciosas entre diciembre de 2022 y febrero de 2023 en empresas de España, Austria, Francia, India, Italia, Japón, Países Bajos, Rusia, Singapur, Corea del Sur y Estados Unidos.

Este nuevo sistema es capaz, incluso, de sortear la vigilancia de los empleados con más nociones tecnológicas. Las notificaciones son enviadas en nombre de una organización real, lo que no genera dudas, especialmente si la empresa utiliza SharePoint a diario.

Phishing a través de las notificaciones de SharePoint: así funciona

La víctima recibe un mensaje de SharePoint que explica que alguien ha compartido un archivo de OneNote con él. El correo es completamente legítimo y elude más fácilmente el filtro antispam que un enlace de phishing oculto en un servidor SharePoint.

El empleado sigue el enlace hacia el archivo de OneNote. El cuerpo de la nota contiene, a su vez, otra notificación con un icono que corresponde a otro archivo diferente (como un PDF) y un enlace de phishing estándar.

El enlace conduce a una web de phishing que imita la página de Microsoft OneDrive. Los ciberdelincuentes lo usan para robar credenciales de cuentas de correo como Yahoo!, AOL, Outlook, Office 365 y muchas otras plataformas.

Cómo minimizar riesgos contra este tipo de phishing

Aunque esta amenaza es muy convincente, hay una serie de señales que deben hacer saltar las alarmas y que es importante explicar a los empleados.

“De entrada, el archivo y el remitente son desconocidos. Además, los compañeros de trabajo no suelen compartir correos con documentos sin un texto previo. Más señales de alerta: hay un enlace a un archivo de OneNote, pero aparece un archivo PDF. El enlace conduce a un sitio de terceros cuya dirección web nada tiene que ver con la organización en la que trabaja la víctima o el servidor SharePoint. El sitio de phishing
imita la página de inicio de sesión de OneDrive, servicio tampoco relacionado con SharePoint. Para mantenerse a salvo, hay que tener cuidado con los correos sospechosos y prestar atención a estos detalles”, explica Roman Dedenok, experto en análisis de spam de Kaspersky.