Investigadores de seguridad Proofpoint han descubierto una campaña de Omicron phishing con temática de variantes dirigida a universidades norteamericanas. Los correos electrónicos de phishing tienen como objetivo robar las credenciales de inicio de sesión de la universidad. Aunque el propósito de eso es actualmente desconocido. Los correos electrónicos de phishing se dirigen a estudiantes de la Universidad de Vanderbilt, la Universidad de Missouri Central y otras universidades norteamericanas.
Ciertamente, esta no es la primera vez que los actores maliciosos han utilizado la ansiedad de las personas por la pandemia en curso para su propio beneficio. Ha habido numerosas campañas en el pasado. Tan pronto como comenzó la pandemia, comenzaron las campañas maliciosas con temática de coronavirus. Las campañas suelen cambiar en función de la situación. Cuando las vacunas comenzaron a estar disponibles, las campañas de correo electrónico maliciosas invitaron a las personas a registrarse para recibir sus vacunas. Y ahora que la nueva Omicron variante se está extendiendo, los actores maliciosos han adaptado sus campañas para Omicron mencionar.
Esta campaña de correo electrónico de phishing en particular les pide a los estudiantes que hagan clic en un enlace o abran un archivo adjunto. Según Proofpoint, las líneas de asunto de estas campañas de correo electrónico suelen ser alguna forma de “Atención requerida – Información sobre la variante COVID-19 Omicron – 29 de noviembre”. Si bien la mayoría de las campañas de phishing temáticas de COVID-19 se envían desde direcciones de correo electrónico que simplemente se hacen para parecerse a las legítimas, Proofpoint ha dicho que los actores maliciosos también usan cuentas universitarias legítimas y comprometidas.
“Si bien muchos mensajes se envían a través de remitentes falsificados, Proofpoint ha observado actores de amenazas que aprovechan las cuentas universitarias legítimas y comprometidas para enviar amenazas temáticas de COVID-19. Es probable que los actores de amenazas estén robando credenciales de las universidades y utilizando buzones comprometidos para enviar las mismas amenazas a otras universidades”, dijo Proofpoint.
Si los usuarios hacen clic en los vínculos, serán llevados a sitios que se parecen mucho a las páginas de inicio de sesión legítimas de la universidad o a las genéricas de Office 365. Los sitios universitarios falsos pueden parecer casi idénticos a los legítimos, lo que indica que al menos se ha puesto algo de esfuerzo en estas campañas de phishing. Puede ser suficiente para engañar a los usuarios menos atentos. Sin embargo, aquellos que prestan atención a los detalles o están más familiarizados con los intentos de phishing deben notar que la URL del sitio al que se les lleva no coincide con la URL de su universidad. La dirección de un sitio suele ser el mayor regalo cuando se trata de campañas de phishing.
Para evitar que los usuarios se den cuenta de lo que está pasando, tan pronto como los usuarios escriban sus credenciales de inicio de sesión y presionen “Iniciar sesión”, serán redirigidos al sitio web legítimo de su universidad. Debido a que la necesidad de iniciar sesión varias veces en realidad ocurre de vez en cuando, es posible que muchos usuarios no lo piensen dos veces antes de tener que escribir sus credenciales de inicio de sesión nuevamente. Pero tan pronto como se escriben las credenciales en el sitio web de phishing, se transfieren inmediatamente a los ciberdelincuentes que operan esta campaña de phishing. Proofpoint señaló que esta campaña no se atribuye a ningún grupo de ciberdelincuencia conocido. El objetivo de esta campaña también se desconoce actualmente. Proofpoint también cree que estas campañas aumentarán en número en los próximos meses.
“Es probable que esta actividad aumente en los próximos dos meses a medida que los colegios y universidades proporcionen y requieran pruebas para estudiantes, profesores y otros trabajadores que viajan hacia y desde el campus durante y después de la temporada de vacaciones, y a medida que la Omicron variante emerge más ampliamente”, advirtió Proofpoint.