Microsoft obtuvo una orden judicial para eliminar varios dominios «homoglyph» maliciosos que se utilizaron para hacerse pasar por clientes de Office 365 y cometer fraude. 

El gigante de la tecnología presentó un caso a principios de este mes después de que descubrió actividad delictiva cibernética dirigida a sus clientes. Después de recibir una queja de un cliente sobre un ataque de compromiso de correo electrónico comercial, una investigación de Microsoft descubrió que el grupo criminal anónimo responsable creó 17 dominios maliciosos adicionales, que luego se usaron junto con las credenciales de cliente robadas para acceder ilegalmente y monitorear las cuentas de Office 365 en un intento de defraudar los contactos de los clientes.

Microsoft confirmó en una publicación de blog publicada el lunes que un juez en el Distrito Este de Virginia emitió una orden judicial que requiere que los registradores de dominios deshabiliten el servicio en los dominios maliciosos, que incluyen «thegiaint.com» y «nationalsafetyconsuiting.com», que se utilizaban para hacerse pasar por sus clientes. Estos dominios denominados «homoglyph» explotan las similitudes de algunas letras para crear dominios engañosos que parecen legítimos. Por ejemplo, usar una «I» mayúscula y una «l» minúscula (por ejemplo, MICROSOFT.COM frente a MlCROSOFT.COM).  “Estos fueron junto con las credenciales de cliente robadas para acceder ilegalmente a las cuentas de los clientes, monitorear el tráfico de correo electrónico de los clientes, recopilar información sobre transacciones financieras pendientes y hacerse pasar por clientes de [Office 365], todo en un intento de engañar a sus víctimas para que transfieran fondos a los ciberdelincuentes. Microsoft dijo en su queja, agregando que los ciberdelincuentes «han causado y continúan causando daños irreparables a Microsoft, sus clientes y el público».

En un caso, por ejemplo, los delincuentes identificaron un correo electrónico legítimo de la cuenta comprometida de un cliente de Office 365 que hacía referencia a problemas de pago. Aprovechando esta información, los delincuentes enviaron un correo electrónico desde un dominio homoglyph usando el mismo nombre de remitente y un dominio casi idéntico. También usaron la misma línea de asunto y formato de un correo electrónico de la conversación legítima anterior, pero afirmaron falsamente que el director financiero había puesto una retención en la cuenta y que el pago debía recibirse lo antes posible. Después, los ciberdelincuentes intentaron solicitar una transferencia bancaria fraudulenta enviando nueva información de la transferencia bancaria que parecía legítima, incluido el uso del logotipo de la empresa a la que se hacían pasar.

Microsoft señala que, si bien estos delincuentes generalmente trasladarán su infraestructura maliciosa fuera del ecosistema de Microsoft una vez detectados, la orden, otorgada el viernes, elimina la capacidad de los acusados ​​de transferir estos dominios a otros proveedores.  “La acción nos permitirá reducir aún más las capacidades de los delincuentes y, lo que es más importante, obtener pruebas adicionales para llevar a cabo más interrupciones dentro y fuera del tribunal”, dijo Amy Hogan-Burney, gerente general de la Unidad de Delitos Digitales de Microsoft. El gigante tecnológico aún no ha revelado las identidades de los ciberdelincuentes responsables de los ataques de BEC, pero dijo que “según las técnicas implementadas, los delincuentes parecen estar motivados económicamente y creemos que son parte de una extensa red que parece tener su sede en África Occidental «. Los objetivos de la operación eran predominantemente pequeñas empresas que operan en América del Norte en varias industrias, según Microsoft.

Esta no es la primera vez que Microsoft obtiene una orden judicial para intensificar su lucha contra los ciberdelincuentes y ataques similares, que según las investigaciones afectaron al 71% de las empresas en 2021. El año pasado, un tribunal accedió a la solicitud del gigante tecnológico de incautar y tomar el control de dominios web maliciosos utilizados en un ciberataque a gran escala dirigido a víctimas en 62 países con correos electrónicos COVID-19 falsificados. 

Fuente: TechCrunch