Un clic y perdió su correo: cibercriminales combinaron un enlace legítimo y uno falso en un mismo botón

Un clic y perdió su correo: cibercriminales combinaron un enlace legítimo y uno falso en un mismo botón

Ocultaron el engaño con tanta habilidad que cualquiera pudo caer en él.

image

En junio, especialistas de Barracuda registraron una serie de ataques por correo electrónico en los que los atacantes usaron páginas reales de Microsoft, archivos adjuntos PDF, botones inusuales y scripts maliciosos en lugar de los habituales formularios de inicio de sesión falsos.

La táctica principal fue un ataque a través de la plataforma Tycoon 2FA. La víctima recibía un correo con una advertencia sobre un buzón de correo saturado y una invitación de calendario adjunta. El botón no dirigía a un sitio falso, sino a una página real de inicio de sesión de Microsoft vinculada a la cuenta del atacante. Tras la autorización, los atacantes interceptaban el token de sesión, que daba acceso al correo, a los archivos y a los servicios asociados de Microsoft 365.

El esquema es peligroso no solo por el robo de contraseñas. Mediante permisos OAuth, es decir, los derechos de una aplicación para acceder a datos, los delincuentes solicitaban acceso a Outlook y acceso sin conexión, lo que permitía mantener el control mediante un token renovable. Las invitaciones de calendario ayudan a eludir parte de las protecciones de correo porque ese canal se comprueba con menos frecuencia que los enlaces habituales en los mensajes.

En otra campaña, el enlace malicioso se sacó del cuerpo del correo a un adjunto PDF relacionado con un pago o con el cumplimiento de requisitos. El documento abría un proceso de inicio de sesión falso por código de dispositivo. A diferencia de ataques anteriores de este tipo, los atacantes no usaron las API reales de Microsoft, sino que generaron códigos falsos directamente en el navegador. La CAPTCHA bloqueaba las comprobaciones automáticas, y las páginas se autodestruían después de un tiempo determinado, lo que dificultaba el análisis del incidente.

Los especialistas también describieron una técnica rara llamada «split-click», en la que un mismo botón se comporta de forma diferente según el punto donde se haga clic. La parte superior abría una página legítima de Microsoft; la inferior iniciaba una redirección a través de una página temporal del navegador hacia un recurso de phishing llamado Sneaky 2FA. Ese truco ayuda a mostrar una ruta segura a los escáneres automáticos y a ocultar el script malicioso de la comprobación estándar de enlaces.

Los ataques por correo cada vez se alejan más del simple robo de credenciales hacia la entrega de archivos maliciosos. En un caso, un enlace a una supuesta factura en PDF descargaba un archivo JavaScript con código oculto, capaz de descargar software malicioso adicional, recopilar información del sistema y persistir en el entorno. En otra campaña, los atacantes se hacían pasar por la Administración del Seguro Social de EE. UU. y ejecutaban código directamente en la memoria de Windows mediante ActiveX, reduciendo la detección por parte de las herramientas de protección tradicionales.

Barracuda recomienda proteger no solo las contraseñas, sino también los tokens de sesión, verificar las invitaciones de calendario, los adjuntos y las cadenas de inicio de sesión, utilizar detección basada en comportamiento, reforzar la protección de los dispositivos finales y reaccionar más rápido ante páginas de phishing de corta duración. También conviene actualizar la formación del personal para los esquemas reales en los que un ataque malicioso puede comenzar con una página de inicio de sesión legítima.