Calendly vulnerado activamente en el phishing de credenciales de Microsoft

Los actores de phishing están abusando activamente de Calendly para iniciar una secuencia inteligente para engañar a los objetivos para que ingresen las credenciales de su cuenta de correo electrónico en la página de phishing.

Calendly es una aplicación de calendario gratuita muy popular con integración de Zoom, que se usa para programar reuniones y citas, y las organizaciones la usan comúnmente para enviar invitaciones para próximos eventos.

Como tal, usarlo para enviar enlaces maliciosos combina muy bien con el trabajo diario de la mayoría de las víctimas, por lo que es poco probable que estos intentos generen sospechas.

Además, los correos electrónicos generados y enviados por plataformas legítimas suelen ser considerados confiables por las herramientas de seguridad de correo electrónico, por lo que tienden a llegar a las bandejas de entrada específicas en lugar de a la carpeta de correo no deseado.

Finalmente, Calendly permite que los nuevos usuarios se registren en la plataforma sin ingresar la información de la tarjeta de crédito ni ninguna otra prueba de identificación, lo que la convierte en una plataforma fácil de abusar.

Los primeros signos de abuso de Calendly comenzaron a fines de febrero, según informaron los analistas de INKY, quienes compartieron su informe con Bleeping Computer antes de la publicación.

Abusar de Calendly para ataques de phishing

El ataque de phishing comienza con correos electrónicos de phishing generados en la plataforma Calendly que informan al destinatario que recibió nuevos documentos de fax.

Para crear estos correos electrónicos, los actores de amenazas abusaron de una función de Calendly que permite a los usuarios crear correos electrónicos de invitación personalizados y una función "Agregar enlace personalizado" para insertar un enlace malicioso en la página del evento.

Ese enlace está incrustado en un botón "Ver documentos" y se inyecta en la pantalla del calendario, por lo que si se hace clic, lleva al destinatario a la página de inicio de phishing real utilizada para robar las credenciales de inicio de sesión.


INKY descubrió que, independientemente de los atractivos de esta campaña de phishing, la página de destino siempre se hacía pasar por un formulario de inicio de sesión de Microsoft con el documento supuestamente borroso en el fondo.

Cualquier credencial ingresada en el cuadro de diálogo irá directamente a los actores de la amenaza, mientras que a la víctima se le pedirá que la ingrese nuevamente debido a que supuestamente ingresó una contraseña incorrecta.


Este es un truco generalizado en las campañas de phishing en la actualidad, ya que obligar al usuario a ingresar sus credenciales dos veces minimiza las posibilidades de robar contraseñas con errores tipográficos y, a veces, incluso ayuda a robar las credenciales de dos cuentas.

Después del segundo intento, la víctima es redirigida automáticamente al dominio de la cuenta de correo electrónico que ingresó para minimizar las posibilidades de que la víctima se dé cuenta del compromiso.


Qué tener en cuenta

Aunque esta es la primera vez que los actores de phishing abusan de la plataforma Calendly, todos los demás trucos empleados en esta campaña son bastante estándar.

Estos incluyen generar mensajes maliciosos enviados desde un servicio en línea legítimo , pedirle al usuario que inicie sesión para ver un documento borroso en segundo plano, obligar a las víctimas a ingresar sus credenciales dos veces y redirigir a un sitio web confiable al final.

Dos signos evidentes de fraude en esta campaña son el requisito de usar las credenciales de Microsoft SharePoint para ver el contenido alojado en Calendly y la URL en la página de phishing, que no está ni en los dominios de Microsoft ni en los de Calendly.

Finalmente, el uso de un administrador de contraseñas es una forma fácil de sortear todos estos trucos, particularmente beneficioso para los usuarios descuidados, ya que si la URL en la página de inicio de sesión no coincide con la almacenada en la bóveda, las credenciales no se completarán.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta