Resumen

Abrir archivos adjuntos y enlaces únicamente de remitentes conocidos es una recomendación habitual para prevenir ataques de malware y suplantación de identidad perpetrados mediante correo electrónico. Sin embargo, en este artículo describimos una técnica de ataque denominada «secuestro de hilos de correo» que explota hilos de correo previos de las víctimas y, de este modo, relaciones de confianza con las mismas para propagarse. En estos casos, el consejo mencionado ya no sirve. Aquí explicaremos el modo en que los atacantes se sirven del secuestro de hilos de correo y cómo éste incrementa de modo dramático la probabilidad de que las víctimas abran enlaces o archivos adjuntos maliciosos.

 

Detalles

Los ciberdelincuentes intentan incitar a las víctimas a abrir enlaces o archivos adjuntos maliciosos. Con este propósito, a menudo se valen de correos que imitan la apariencia de correos lícitos, tales como facturas. Sin embargo, si la víctima no es cliente de una empresa o servicio concreto, probablemente no le dé por abrir supuestas facturas de dichas empresas o servicios, especialmente sabiendo que se trata de la táctica más habitual empleada por los delincuentes para incitar a las víctimas a ejecutar su malware. Por tanto, los delincuentes suelen recurrir a acontecimientos especiales para despertar el interés de las víctimas por abrir sus enlaces o archivos adjuntos maliciosos. Ejemplos de tales acontecimientos son la Navidad, el Black Friday, Halloween o el día de San Valentín, así como, actualmente, la pandemia de COVID-19. Sin embargo, a menudo los usuarios también conocen estas estrategias y no abren ningún enlace o archivo adjunto malicioso, especialmente cuando aparecen de la nada y sin ningún contexto.

Por tanto, cada vez hay más atacantes que recurren a una técnica llamada «secuestro de hilos de correo». Con esta técnica, los atacantes se valen de hilos de correo de sus víctimas para propagarse hacia otras víctimas. Antiguamente, los atacantes se limitaban a emplear las direcciones de correo contenidas en las agendas de sus víctimas. El secuestro de hilos de correo también emplea hilos de correo antiguos de la víctima para encontrar nuevas víctimas. Con este fin, los atacantes responden a conversaciones que la víctima tiene en su buzón de correo.

 

¿Cómo funciona el secuestro de hilos de correo?

En el secuestro de hilos de correo, el ataque comienza contagiando a una primera víctima. A continuación, se roban sus correos y, a menudo, también sus datos de acceso a la cuenta de correo. Seguidamente, los atacantes responden a los correos de la víctima con sus mensajes maliciosos.

En el siguiente ejemplo, el campo «From» del correo contiene la dirección de la víctima. El campo «To» contiene la dirección de correo del usuario atacado, con el cual la víctima mantuvo previamente una comunicación por correo electrónico. El campo «Subject» contiene el asunto original del hilo de correo precedido por «Re: «. La cita bajo el mensaje contiene toda la conversación entre las dos partes.

Ejemplo de secuestro de hilos de correo

Los buenos atacantes también adaptan el idioma de la respuesta al empleado en el hilo de correo secuestrado. Así, por ejemplo, el siguiente ejemplo emplea una respuesta en alemán:

Ejemplo de secuestro de hilos de correo

Mientras que, en los ejemplos anteriores, la respuesta maliciosa contenía un enlace malicioso, estos correos también pueden valerse de archivos adjuntos maliciosos:

Ejemplo de secuestro de hilos de correo

 

¿Cómo de eficaz es el secuestro de hilos de correo?

Para ilustrar lo eficaz que es el secuestro de hilos de correo, hemos recreado una comunicación por correo electrónico que observamos durante una inspección rutinaria de falsos positivos:

Ejemplo de secuestro de hilos de correo

En este ejemplo, los atacantes comprometieron la cuenta de correo de Joe Schmoe y respondieron desde ella a un correo que Joe había recibido previamente de Alice. En su respuesta incluyeron un enlace malicioso (ABRE EL ENLACE) y algo de texto genérico. Alice sacó el correo de la cuarentena para abrir el enlace malicioso, pero su navegador la salvó de infectarse. Después escribió a la cuenta de correo comprometida de Joe para decir que no podía abrir «el archivo», y que necesitaría que se lo enviara en otro formato. A continuación, los atacantes enviaron a Alice otro enlace malicioso. Aunque estamos convencidos de que el hecho de que los atacantes volviesen a secuestrar un hilo de correo secuestrado previamente fue una coincidencia, este ejemplo demuestra lo eficaz que puede resultar el secuestro de hilos de correo.

Por suerte, (por ahora) no hay ningún atacante que adapte sus correos en función del hilo secuestrado. Sin embargo, como los delincuentes disponen de herramientas de secuestro de hilos de correo altamente automatizadas, la probabilidad de que los hilos secuestrados impliquen el intercambio de documentos en ambas direcciones es elevada. E incluso si tal cosa no ocurre, ¿quién no iba alguien a abrir un documento enviado por un contacto conocido dentro de un hilo de correo previo?

 

¿Quién emplea el secuestro de hilos de correo?

El número de delincuentes que emplean ataques de secuestro de hilos de correo sigue aumentando. Aunque la primera vez que se observó, en mayo de 2017, formaba parte de una campaña limitada de spear phishing, muchos ciberdelincuentes generalistas adoptaron la técnica en 2018.

En 2019, también Emotet adoptó el secuestro de hilos de correo. Con este propósito, añadieron un módulo de robo de correos. El módulo roba correos y datos de acceso de las víctimas y los envía a los servidores de control de Emotet, desde los cuales se distribuyen a los sistemas de otras víctimas infectados con el módulo de spam de Emotet, donde se emplean para atacar a nuevas víctimas. Recientemente, Emotet ha ampliado su secuestro de hilos de correo sustrayendo archivos adjuntos a sus víctimas y colocando su archivo malicioso entre archivos adjuntos benignos robados para que los correos parezcan aún más legítimos.

QakBot también se distribuye frecuentemente a través de respuestas a hilos de correo previos. En 2020, el malware Valek empezó también a distribuirse mediante secuestro de hilos de correo.

Hornetsecurity ha observado un aumento en las cuentas comprometidas empleadas para enviar correos maliciosos. Aunque (por ahora) no se emplea el secuestro de hilos de correo, sino que simplemente se utilizan las cuentas de correo de las víctimas para enviar correos, teniendo acceso a dichas cuentas es muy sencillo perpetrar ataques de secuestro de hilos de correo: basta con que el delincuente responda a correos recibidos por sus víctimas. Por tanto, estamos convencidos de que la tendencia a los ataques mediante secuestro de hilos de correo va a continuar. Así, los usuarios ya no van a poder fiarse de remitentes de confianza a la hora de decidir si es seguro o no abrir un archivo adjunto o hacer clic en un enlace.

 

Conclusión y soluciones

La recomendación de abrir únicamente archivos adjuntos o enlaces de correos electrónicos de remitentes conocidos está obsoleta. Con el secuestro de hilos de correo, incluso los ciberdelincuentes generalistas pueden automatizar correos altamente sofisticados y eficaces para cometer spear phishing. A menudo, las víctimas no saben que están infectadas. En tales casos es importante informar a las víctimas de que están distribuyendo contenido malicioso por correo electrónico para que puedan tomar medidas contra la infección. La medida más urgente sería cambiar los datos de acceso a la cuenta de correo. Otros pasos consistirían en determinar cómo obtuvieron los atacantes acceso a la cuenta de correo en primer lugar para evitar que tales incidentes se repitan en el futuro.

A los seres humanos les resulta muy difícil, si no imposible, detectar el secuestro de hilos de correo, ya que, al enviarse a través de cuentas de correo legítimas aunque comprometidas, y dejando aparte el estilo de escritura, los correos son indistinguibles de correos legítimos reales. Sin embargo, los filtros de correo que inspeccionan los archivos adjuntos o enlaces en correos pueden detectar contenidos maliciosos a pesar de eso.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, detecta y pone en cuarentena las amenazas independientemente de si se emplean ataques de secuestro de hilos de correo o no. Advanced Threat Protection de Hornetsecurity tampoco se ve afectado por el secuestro de hilos de correo, e inspecciona los contenidos de cada correo independientemente de si se han enviado desde una cuenta comprometida. Los filtros de malware, phishing y ATP de Hornetsecurity tienen preferencia sobre las listas blancas de remitentes. De este modo, los clientes de Hornetsecurity estarán protegidos incluso si un remitente en una lista blanca se ve comprometido y su cuenta de correo se emplea para enviar correos maliciosos.