Phishing En Facebook Distribuido Mediante Infraestructuras De Salesforce Afectadas Por Día Cero

Se ha detectado una sofisticada campaña de phishing dirigida a usuarios de Facebook utilizando una vulnerabilidad zero-day en el servicio de correo de Salesforce, permitiendo enviar correos de phishing usando el dominio y la infraestructura de Salesforce.

Salesforce es una de las empresas tecnológicas más grandes del mundo. Proporciona software y aplicaciones de gestión de relaciones con el cliente (CRM), enfocados en ventas, servicio al cliente, automatización de marketing, análisis y desarrollo de aplicaciones.

En la campaña de phishing los atacantes se hacen pasar por Meta, enviando correos electrónicos a usuarios de Facebook afirmando que sus cuentas están siendo investigadas debido a sospechas de suplantación de identidad. Por ello, en dicho correo pretenden dirigir a los usuarios a una página externa diseñada para capturar las credenciales y conseguir los códigos de autenticación de dos factores (2FA) de la cuenta del usuario. Lo que destaca en este caso es que el kit del phishing está alojado como un juego en Facebook usando el dominio apps.facebook.com.
Vale la pena señalar que Meta retiró los juegos web en julio de 2020, aunque es posible mantener el soporte para juegos que se desarrollaron antes del cierre.

Adicionalmente, al explotar la vulnerabilidad zero-day en el servicio de correo de Salesforce, los atacantes tenían la posibilidad de enviar correos con dominio «@salesforce.com» directamente desde la infraestructura de la empresa. Al incluir enlaces legítimos (facebook.com), donde está alojado el phishing, y enviarse desde una dirección de correo legítima de salesforce.com, se conseguía evadir los métodos antispam y antiphishing convencionales.

Aún se está investigando si esta vulnerabilidad en los servicios de correo de Salesforce se ha utilizado para otras campañas de phishing como podría ser las dirigidas directamente a los clientes de Salesforce, cuyos correos entrarían directamente a la bandeja de entrada de la víctima, sin pasar los mecanismos antispam y antiphishing e incluso siendo marcado el correo como «Importante» por Google.

Salesforce solucionó el zero-day tras ser descubierto el día 28 de julio de 2023 y actualmente se realizan nuevas comprobaciones impidiendo el uso de direcciones de correo electrónico del dominio @salesforce.com.

Más información:

Acerca de Hispasec

Hispasec Ha escrito 6952 publicaciones.


Via: unaaldia.hispasec.com
Phishing En Facebook Distribuido Mediante Infraestructuras De Salesforce Afectadas Por Día Cero Phishing En Facebook Distribuido Mediante Infraestructuras De Salesforce Afectadas Por Día Cero Reviewed by Zion3R on 14:37 Rating: 5