Un grupo de investigadores de Proofpoint, una de las empresas líderes en ciberseguridad y cumplimiento normativo, ha detectado una campaña de phishing que utiliza la imagen de marca y el formato de email de DocuSign y que está dirigida a individuos específicos en diversas organizaciones. Como principal novedad, el ataque dirige a los usuarios a páginas web alojadas en el servicio público de almacenamiento en nube Amazon Web Services S3, algo muy poco habitual entre los actores de phishing monitorizados por Proofpoint. Además, Proofpoint ha constatado que el método de ofuscación empleado en el ataque, XOR, aunque no es nuevo, sí que demuestra en esta ocasión su capacidad para utilizar múltiples capas de codificación.
Los autores de amenazas, y más recientemente los creadores de phishing, han sido capaces de evadir la detección utilizando servicios de cloud, redes sociales y comercio electrónico bien conocidos y de confianza para los consumidores para alojar sus kits de phishing. Algunos han conseguido, ahora, llevar el almacenamiento de sus amenazas de servicios de almacenamiento para usuarios individuales, como Google Drive o Dropbox, a servicios más empresariales, como Amazon Web Services (AWS) o Microsoft Azure, utilizando también diversas técnicas de codificación a través de JavaScript en las páginas alojadas para evitar que sean detectadas.
Aunque este tipo de ataques es relativamente poco frecuente, Proofpoint también ha documentado distintos ataques que utilizan otras infraestructuras de almacenamiento en la nube pública empresarial con el mismo objetivo – alojar webs de destino de sus ataques de phishing – entre las que destacan el reciente ataque al servicio GitHub de Microsoft o la estrategia de phishing de credenciales que utilizaba el almacenamiento masivo de Microsoft Azure.
