Campaña de phishing de Zoom

Dado el incremento del uso de plataformas de videoconferencias, debido a la necesidad de búsqueda de herramientas para trabajar de forma remota, esto debido a la contingencia por la pandemia originada por COVID-19, surgió una nueva campaña de phishing en la plataforma Zoom. La cual le solicita a los destinatarios que se una a una reunión de Zoom, ésta amenazaba a los empleados con suspender o rescindir sus contratos.

 

Zoom es una plataforma de comunicación en línea que tiene características como videoconferencias, reuniones en línea, chat y colaboración móvil. 

 

¿Cómo opera la campaña de phishing? Los destinatarios reciben un correo con un enlace a una página de inicio de sesión de Zoom falsa, la cual pide que introduzcan las credenciales de inicio de sesión. Hasta el momento, según los investigadores de seguridad de Annormal Security, más de 50.000 usuarios han sido atacados

.

“Con la campaña, el atacante se hace pasar por Zoom convenciendo a los destinatarios de llegar a la página de destino falsa que imita las notificaciones de Zoom.”

 

La campaña de correo electrónico se dirigió principalmente a los empleados que utilizan Office 365.

 

El correo electrónico imita un recordatorio de Zoom para unirse a una reunión con los encargados de Recursos Humanos de la empresa o institución,  en la cual se le solicita unirse a una reunión para hablar en relación con la suspensión del trabajo o bien el despido. Sin duda este correo crea pánico en los usuarios al leerlo, e intentan apresuradamente unirse a la reunión.

 

El correo electrónico contiene un enlace con una página de inicio de sesión falsa «zoom-emergency.myftp[.]org» y el dominio de phishing oculto con el botón «Join this Live Meeting». Una vez que la víctima accede al botón e introduce las credenciales de acceso, la información es enviada al servidor falso de Zoom, el cual es controlado por los atacantes.

 

“Los actores de la amenaza crearon el correo electrónico para que fuera una notificación legítima de Zoom y el falso inicio de sesión también tiene el formato de un recordatorio de reunión legítima comúnmente utilizado por Zoom”

 

  • Annormal Security.

 

 

«Los usuarios frecuentes de Zoom al estar la página de inicio de sesión, pensaban que su sesión había caducado e intentaban iniciar sesión de nuevo. De esta manera es más probable que introduzcan sus credenciales de inicio de sesión sin comprobar las anomalías en la página de phishing».

 

Otro fallo ocurrido en Zoom permitió a los hackers grabar las sesiones de reunión del Zoom y capturar el texto del chat sin el conocimiento de los participantes de la reunión, aunque el anfitrión deshabilite la opción de grabación para los participantes. Es así como los ciberdelincuentes continúan aprovechando la contingencia que se vive actualmente para lanzar diversos ataques como malware, phishing, fraude y campañas de desinformación.

 

En la situación actual, la mayor parte de las empleados que realizan “Home Office” no están lo suficientemente preparados para esta nueva modalidad laboral, por lo tanto desconocen los fraudes que hacen estos hackers  las plataformas de comunicación de video en debido a la contingencia son fuertemente atacadas. Te recomendamos ante este escenario verificar muy bien la información que llega a tus correos en el apartado de destinatarios, si tienes dudas corroborar la información con la persona que te envió el mensaje; evita dar click a enlaces o documentos que te parezcan sospechosas. Así mismo los campos donde introduces tus accesos o credenciales de correos o información personal.