Mimecás identificado Una campaña de phishing dirigida a organizaciones del Reino Unido que patrocina a los trabajadores y estudiantes migrantes, explotando la marca de la oficina en el hogar dentro del Sistema de Gestión de Patrocinios (SMS) para comprometer las credenciales para la explotación financiera y el robo de datos.
Los ciberdelincuentes están explotando la marca del Ministerio del Interior en una campaña de phishing recientemente identificada, dirigida a los titulares de licencias de patrocinadores de inmigrantes del Reino Unido que participan en el gobierno Sistema de gestión de patrocinio. Este sistema está diseñado principalmente para empleadores que patrocinan visas en las categorías de trabajadores y trabajadores temporales, así como instituciones que patrocinan visas en las categorías de estudiantes y niños. Sus funciones principales incluyen la gestión de la creación y asignación de certificados de patrocinio para posibles empleados o estudiantes, e informar cambios de circunstancias para inmigrantes patrocinados.
La campaña, identificada por Samantha Clarke, Hiwot Mendahun y Ankit Gupta del Equipo de Investigación de Amenazas de Mimecast, especialista en seguridad de correo electrónico, parece tratar principalmente de comprometer las credenciales para la explotación financiera posterior y el robo de datos. El equipo de Mimecast declaró que esta campaña presenta una amenaza significativa para el sistema de inmigración del Reino Unido, con atacantes que intentan comprometer el acceso al sistema de gestión de patrocinio para una extensa explotación financiera y de datos.
Los actores de amenaza implementan correos electrónicos fraudulentos que se hacen pasar por comunicaciones oficiales del Ministerio del Interior, generalmente enviados a direcciones de correo electrónico organizacionales generales. Estos correos electrónicos contienen advertencias urgentes sobre problemas de cumplimiento o suspensión de la cuenta e incluyen enlaces maliciosos que redirigen a los destinatarios a las páginas de inicio de sesión de SMS falsas diseñadas para cosechar ID de usuario y contraseñas.
La naturaleza sistemática de la campaña comienza con correos electrónicos de phishing que inicialmente parecen imitar de cerca una notificación genuina del Ministerio del Interior. Estos mensajes se presentan como notificaciones urgentes o alertas del sistema que requieren atención inmediata. Sin embargo, su verdadero propósito es dirigir a los usuarios a fingir páginas de inicio de sesión para capturar las credenciales de SMS de las víctimas. Un análisis técnico más profundo realizado por el equipo de Mimecast reveló que los perpetradores están empleando URL activadas por Captcha como un mecanismo de filtrado inicial.
Esto es seguido por la redirección a las páginas de phishing controladas por los atacantes, que son clones directos del artículo genuino. Estas páginas clonadas incorporan HTML robado, enlaces a activos oficiales del gobierno del Reino Unido y cambios mínimos pero críticos en el proceso de presentación de formulario. El equipo de Mimecast señaló que los actores de amenaza demuestran una comprensión avanzada de los patrones de comunicación gubernamental y las expectativas de los usuarios dentro del sistema de inmigración del Reino Unido.
El objetivo de este ataque de phishing parece ser doble, dirigido a ambas organizaciones legítimamente patrocinando a los inmigrantes al Reino Unido y a los propios inmigrantes. Una vez que se comprometen las credenciales de SMS de las víctimas principales, los atacantes persiguen múltiples objetivos de monetización diferentes. El principal de estos objetivos parece ser la venta de acceso a cuentas comprometidas en foros web oscuros para facilitar la emisión de certificados falsos de patrocinio (COS). Además, los atacantes realizan ataques de extorsión directamente sobre las propias organizaciones. Una avenida para la explotación más oscura y potencialmente más rentable implica la creación de ofertas de trabajo falsas y esquemas de patrocinio de visas. Según los informes, las personas que buscan trasladarse al Reino Unido han sido defraudadas de hasta £ 20,000 por estos ciberdelincuentes por lo que parecían ser visas y ofertas de trabajo legítimas que nunca se materializaron.
Mimecast ha implementado capacidades integrales de detección para sus clientes que pueden estar en riesgo de esta campaña de phishing. La plataforma de seguridad de correo electrónico de la firma está diseñada para detectar y bloquear los correos electrónicos entrantes asociados con esta actividad, y Mimecast continúa monitoreando cualquier desarrollo adicional. Las organizaciones que utilizan el servicio SMS deben considerar implementar varias medidas de protección. Estos incluyen implementar capacidades de seguridad de correo electrónico para detectar suplantación del gobierno y patrones de URL sospechosos e implementar la reescritura de URL y el sandboxing para analizar enlaces antes de la interacción del usuario.
También se recomienda establecer y hacer cumplir la autenticación multifactorial (MFA) en el acceso a SMS, rotar estas credenciales con frecuencia y monitorear SMS representa patrones de acceso inusuales o ubicaciones de inicio de sesión que parecen inconsistentes. Las organizaciones deben involucrar a las personas con acceso a SMS en comunicaciones genuinas del Ministerio del Interior y dominios de correo electrónico oficiales, enfatizando la importancia de verificar las notificaciones urgentes antes de tomar medidas. Esto debe combinarse con el entrenamiento general de la conciencia de phishing y las simulaciones. Además, la creación de procedimientos de verificación para las comunicaciones relacionadas con SMS, que incorporan el compromiso de SMS en los protocolos de respuesta a incidentes y segregando las tareas de SMS cuando sea posible puede ayudar a mitigar escenarios de un solo punto de falla. El Ministerio del Interior ha sido contactado para hacer comentarios sobre esta campaña.
