Campaña de phishing EchoSpoofing
![](https://csirt.axtel.com.mx/uploads/images/blog/Imagen de un ciberdelincuente mandando correos electronicos maliciosos y que en alguna parte de la imagen diga "EchoSpoofing".jfif?v=1726787697)
La empresa de ciberseguridad Guardio ha descubierto una nueva campaña de phishing, dicha campaña se ha denominado EchoSpoofing y se tiene registro que comenzó en enero de 2024. Esta lleva a cabo una suplantación de identidad muy bien elaborada, y desde su inicio ha mandado con éxito millones de correos electrónicos que se hacen pasar por marcas reconocidas como lo es Disney, Best Buy, Nike, etc. [1]
EchoSpoofing consiste en que el actor envía los mensajes desde un servidor SMTP a un servidor privado virtual (VPS) el cual cumple con las medidas de autenticación y seguridad como SPF (Sender Policy Framework) Y DKIM (DomainKeys Identified Mail), pudiendo así autenticarlos y mandarlos por medio del servicio de retransmisión de correos Proofpoint. Todos los correos se han mandado de la misma forma ya que se puede aprovechar de una vulnerabilidad de Proofpoint. [1][2]
La ruta a seguir de los ataques es organizada y siempre usa el mismo método que consiste en que el correo usa un servidor SMTP común y corriente en un servidor virtual, después pasa por un servidor de Office 365 Online Exchange para luego ser mandado a un servidor de Proofpoint especifico. Aunado a esto, se utiliza un servicio de nivel empresarial para la gestión de envío de correos masivo llamada PowerMTA, la cual es legítima pero ampliamente utilizado en la dark web para campañas de phishing. [1]
Diagrama de la explotación de la vulnerabilidad simplificado.
La falla que facilita la explotación de la vulnerabilidad radica en la configuración predeterminada del servicio de retransmisión de Proofpoint. Este le permitía a los miembros que no pertenecieran a una organización enviar correo saliente desde un dominio, ya que la configuración predeterminada es muy permisiva y permite hacer esto debido a que si no se añaden reglas especiales cualquier cuenta de Office 365 puede usar el dominio para retransmitir correos. La mayoría de las empresas afectadas no eran conscientes de que la configuración predeterminada era insegura o que había forma de evitarlo. [1] [2]
Otra falla que ayudó a esto fue que las cuentas de Microsoft365 no requieren verificar la propiedad del dominio cuando los correos electrónicos se retransmiten a través de sus servidores Exchange y pasan sin ser alterados, al hacer esto se verifica el correo con SPF. [1]
Diagrama representativo del funcionamiento de la explotación de la vulnerabilidad
Es posible agregar reglas para evitar esto, pero el proceso es manual y requiere reglas, scripts y mantenimiento personalizados. Proofpoint por su parte ajustó su panel de administración para mejorar el proceso de configuración a través de alertas y describiendo los riesgos potenciales que conlleva el continuar con la configuración predeterminada, así como también trabajar con Guard.io para bloquear los sitios conocidos de servidores smtp y tenants. [1] [2]
Por su parte Guard Labs se comunicó con Microsoft para advertir de estos fallos en sus Exchange y que fueran corregidos, pero no hubo mucha respuesta por parte de Microsoft. [2]
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Guard.io Research. (2024, Julio 24). EchoSpoofing: A massive phishing campaign exploiting Proofpoint’s email protection to dispatch. Recuperado el 31 de Julio del 2024 en: https://labs.guard.io/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6
- Kan, M. (2024, Julio 25). Proofpoint bug allowed scammers to pose as major brands, send phishing emails. Recuperado el 31 de Julio del 2024 en: https://www.pcmag.com/news/proofpoint-bug-allowed-scammers-to-pose-as-major-brands-send-phishing-emails
.jpg)
