Uso indebido de los espacios de trabajo de Atlassian, Archbee y Nuclino

2 de agosto de 2024

Mimecast Threat Research ha identificado una nueva táctica de phishing en la que los actores de amenazas explotan cuestiones relacionadas con el cumplimiento. Estos atacantes engañan a los usuarios haciéndoles creer que deben hacer clic en un enlace para cumplir un requisito de cumplimiento, dirigiéndolos a un portal de empresa falso para recopilar credenciales u otra información confidencial.

Hay bastante personalización en los correos electrónicos, como detalles de un «dispositivo» y varias referencias al dominio de la empresa a la que envían estas campañas para aumentar la validez. El nombre de la dirección del remitente siempre hace referencia al nombre de dominio de la organización de destino con el objetivo de engañar a los usuarios finales haciéndoles creer que procede de su departamento interno.

En esta campaña se utilizan varias URL, una de las cuales, y de forma interesante, es una URL con matasellos para redirigir al usuario a estas soluciones de espacio de trabajo unificado.

• hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp%252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-4961-92a6-db7f088575be%2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',

Se utilizan múltiples técnicas de ofuscación para ocultar el verdadero destino de una URL:

• Redirección múltiple
• hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s...
• Caracteres codificados
• %2F, %252F, %25252F
• Parámetros de seguimiento
• u4jK, AQ, seguido de cadenas como 82ec5a25-c50f-4c68-a1ad-64d3d3de6c19

Al seguir el enlace, vemos la siguiente página en archbee.com que contiene otro enlace en el que se debe hacer clic para acceder a un documento. La página indica que el usuario tendrá que «iniciar sesión» de nuevo para obtener acceso.

Vemos páginas similares alojadas en Confluence, que es un servicio utilizado por muchas organizaciones y es habitual para que los empleados de una empresa colaboren entre sí.

Todos los enlaces de estas páginas vuelven a tener varias técnicas de ofuscación para evadir la detección, y una vez que se hace clic, a los usuarios se les presenta una página de inicio de sesión de Microsoft con dos ejemplos que se muestran a continuación.

Mimecast sigue viendo cómo los actores de amenazas utilizan servicios como OneDrive y Google Docs para alojar archivos o enlaces en sus campañas, pero el uso de espacios de trabajo como Atlassian no se había utilizado anteriormente de forma tan abusiva. Sin embargo, se ha producido un aumento notable en el uso de Atlassian para evadir la detección, lo que seguirá siendo objeto de seguimiento.

Destinatarios

Australia, bufetes de abogados destacados

Destinatarios

Dirección de correo electrónico del encabezado del remitente

• @re[.]commufa[.]jp
• @biglobe[.]ne[.]jp

URL

• hxxps://click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fbatesbooks.com%25252F%25253Fgnwihigb%252Fu4jK%252F_TK1AQ%252FAQ%252Feb4ca8cd-9fd8-441d-bd47-ba8515ce4ecb%252F1%252F29ti9u-YHt%2Fu4jK%2F-jK1AQ%2FAQ%2F5144fccb-e0c2-47a4-bc78-4996415f3747%2F1%2Fp92u3QTaSb/u4jK/ATO1AQ/AQ/2fd5814e-142f-44ef-9cf1-186f556a5be6/1/s3sdWJSj3H
• hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp%252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-4961-92a6-db7f088575be%2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',