Exploit en Proofpoint permite enviar millones de correos de phishing

Iniciado por Dragora, Julio 29, 2024, 10:05:52 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Un actor de amenazas desconocido ha sido vinculado a una campaña de estafa masiva que explotó una mala configuración del enrutamiento de correo electrónico en Proofpoint, un proveedor de seguridad de correo, para enviar millones de mensajes que suplantan la identidad de empresas populares como Best Buy, IBM, Nike y Walt Disney, entre otras.

Estos correos electrónicos se enviaban a través de los relés de correo oficiales de Proofpoint, utilizando firmas SPF y DKIM autenticadas, eludiendo las principales protecciones de seguridad. El objetivo era engañar a los destinatarios y robar fondos y detalles de tarjetas de crédito, según el investigador de Guardio Labs, Nati Tal, en un informe detallado compartido con The Hacker News.

La campaña, denominada EchoSpoofing, comenzó en enero de 2024. El actor de amenazas envió hasta tres millones de correos electrónicos al día de media, alcanzando un máximo de 14 millones a principios de junio, cuando Proofpoint implementó contramedidas.

La técnica utilizada por los atacantes consistía en enviar mensajes desde un servidor SMTP a un servidor privado virtual (VPS), cumpliendo con medidas de autenticación y seguridad como SPF y DKIM. Estos mensajes se enrutaban desde varios inquilinos de Microsoft 365 controlados por los adversarios, retransmitiéndolos a través de las infraestructuras de correo de Proofpoint para llegar a usuarios de proveedores como Yahoo!, Gmail y GMX.

Este ataque fue posible debido a una "configuración súper permisiva" en los servidores de Proofpoint que permitió a los spammers aprovechar la infraestructura de correo para enviar los mensajes. La causa raíz era una función de enrutamiento de correo electrónico modificable en los servidores de Proofpoint que permitía la retransmisión de mensajes salientes de las organizaciones desde los inquilinos de Microsoft 365, sin especificar qué inquilinos de M365 permitir.

Para reducir el spam, Proofpoint instó a los proveedores de VPS a limitar la capacidad de sus usuarios para enviar grandes volúmenes de mensajes desde servidores SMTP alojados en su infraestructura. También recomendó a los proveedores de servicios de correo electrónico que restrinjan las capacidades de los inquilinos no verificados de prueba gratuita y recién creados para enviar mensajes de correo masivos, evitando que suplanten dominios sin propiedad probada.

Proofpoint enfatizó que no se expusieron datos de los clientes ni se experimentó pérdida de datos como resultado de estas campañas. Además, la compañía contactó directamente con algunos de sus clientes para cambiar su configuración y detener la eficacia de la actividad de spam.

La principal lección para los CISOs es mantener un control estricto sobre la postura de seguridad en la nube de sus organizaciones, especialmente al usar servicios de terceros que se convierten en la columna vertebral de los métodos de comunicación y redes de la empresa. La seguridad proactiva y la vigilancia son cruciales para proteger tanto a los clientes como al público en general.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta