Campaña de phishing temática “Helpdesk Support” (AL02/240212/CSIRT-ITA)

Se ha detectado el resurgimiento de una campaña de phishing, denominada «Helpdesk Support», destinada a robar las credenciales de usuario de posibles víctimas mediante formularios debidamente elaborados que reproducen logotipos y referencias a los servicios de Microsoft Outlook.

Descripción e impactos potenciales

Se ha detectado el resurgimiento de una campaña de phishing, denominada «Helpdesk Support», transmitida a través de correos electrónicos engañosos que inducen a la víctima potencial a visitar un recurso externo malicioso con el pretexto de actualizar su bandeja de entrada.

Si se sigue el enlace propuesto, la víctima es redirigida a una página de destino maliciosa que ofrece un formulario de autenticación con logotipos y referencias atribuibles a los servicios proporcionados por Microsoft Outlook (Figura 1).

Si el formulario se completa y se inicia sesión a través del botón “Iniciar sesión”, los datos proporcionados se enviarán a un recurso bajo el control del atacante, mientras que la víctima será redirigida a una página de cortesía (Figura 2) en la que se notifica al usuario que la solicitud ha sido recibida por un presunto servicio técnico.

Acciones de mitigacion

Los usuarios y organizaciones pueden hacer frente a este tipo de ataques revisando cuidadosamente los correos electrónicos recibidos y activando las siguientes medidas adicionales:

• proporcionar sesiones de capacitación periódicas destinadas a reconocer el phishing y al mismo tiempo desconfiar de las comunicaciones inesperadas;
• no acceda a enlaces de Internet ni a contenidos externos relacionados si no está seguro de la fiabilidad del recurso;
• Verifique la legitimidad de los sitios que requieren que ingrese sus datos de inicio de sesión.

Finalmente, se recomienda evaluar la verificación e implementación – en su equipo de seguridad – de los Indicadores de Compromiso (IoC) proporcionados en el archivo adjunto.

¹ Por definición, no todos los indicadores de riesgo son maliciosos. Este CSIRT no tiene responsabilidad por la implementación de acciones proactivas (por ejemplo, inclusión de IoC en listas de bloqueo) relacionadas con los indicadores proporcionados. La información contenida en este documento representa la mejor comprensión de la amenaza en el momento de su publicación.