EchoSpoofing: cómo los hackers convirtieron Proofpoint en una fábrica de envío de correos falsos

Un delincuente desconocido utilizó una vulnerabilidad en la configuración de enrutamiento de correo electrónico de la empresa Proofpoint para enviar en masa mensajes falsificados en nombre de compañías conocidas, como Best Buy, IBM, Nike y Walt Disney.

Según un investigador de Guardio Labs, los correos electrónicos se enviaban a través de los servidores oficiales de Proofpoint con firmas SPF y DKIM auténticas, lo que permitía eludir las principales medidas de seguridad y engañar a los destinatarios para robar dinero y datos de tarjetas de crédito.

La campaña fue llamada EchoSpoofing. Comenzó en enero de este año y terminó solo en junio, cuando Proofpoint comenzó a tomar medidas activas contra ella. Diariamente, los delincuentes enviaban un promedio de tres millones de correos, alcanzando un pico de 14 millones en uno de los días de junio.

El método de falsificación de correos resultó ser tan único que casi no dejaba posibilidad de darse cuenta de que no eran correos auténticos de las compañías. Los delincuentes utilizaban servidores SMTP en servidores privados virtuales (VPS), cumpliendo todas las medidas de autenticación, como SPF y DKIM, lo que hacía que los correos falsos fueran muy convincentes.

Los correos se enrutaban a través de clientes de Microsoft 365 (tenants) controlados por los delincuentes y luego se transmitían a través de la infraestructura de correo electrónico de los clientes de Proofpoint a usuarios de servicios de correo gratuitos, como Yahoo!, Gmail y GMX. Esto fue posible debido a un error de configuración en los servidores de Proofpoint, que otorgaba privilegios elevados a los atacantes.

El problema principal radicaba en la posibilidad de cambiar la configuración de enrutamiento de correo electrónico en los servidores de Proofpoint, lo que permitía reenviar mensajes de cualquier tenant de Microsoft 365 sin especificar tenants permitidos específicos. Esto llevó a que los delincuentes pudieran configurar tenants falsificados y enviar mensajes que se reenviaban a través de los servidores de Proofpoint y parecían auténticos.

Los delincuentes utilizaban una versión hackeada del programa PowerMTA para enviar en masa los mensajes, utilizando varias direcciones IP y VPS para enviar miles de mensajes a la vez. Estos correos eran aceptados por Microsoft 365 y reenviados a través de la infraestructura de Proofpoint con una firma DKIM, lo que los hacía aún más convincentes.

El objetivo principal de EchoSpoofing era generar ingresos ilegales y minimizar el riesgo de ser descubiertos, ya que dirigirse directamente a las compañías aumentaría significativamente las posibilidades de que el esquema fuera detectado. Proofpoint declaró que la actividad de los hackers no coincide con amenazas y grupos conocidos. Los especialistas de la compañía enfatizaron que los datos de los clientes no fueron comprometidos y que se les proporcionaron recomendaciones para detectar el phishing.

Para reducir el volumen de spam, Proofpoint insta a los proveedores de VPS a limitar la capacidad de enviar grandes cantidades de mensajes desde sus servidores y pide a los servicios de correo que limiten la capacidad de los usuarios nuevos y no verificados para enviar mensajes masivos y falsificar dominios.