Utilizaron Zoho para extraer información robada por Keyloggers.


La semana pasada, el software de CRM y el proveedor de correo gratuito Zoho fueron desconectados por su registrador de dominio por presuntas violaciones de Phishing. Esta semana, se publicó una nueva investigación que indica que los distribuidores de keylogger están utilizando mucho a Zoho como una forma de transmitir sus datos robados.

Los keyloggers son programas maliciosos que controlan silenciosamente la computadora de una víctima y recopilan credenciales de cuenta, secretos comerciales o espías en el comportamiento de un usuario. Al robar información, se puede hacer a través de la supervisión y el registro de lo que se escribe en el teclado, la grabación de cámaras web y micrófonos, la captura de pantallas de ventanas activas y la realización de otras actividades maliciosas. Esta información luego se recopila y se transmite directamente a un servidor bajo el control de los atacantes o se compila en un correo electrónico y se envía a los atacantes.

Si envían los datos robados por correo electrónico, los atacantes suelen confiar en cuentas de correo electrónico desechables gratuitas para transmitir sus correos electrónicos. Según una investigación del proveedor de seguridad de correo Cofense, el 40% de los keyloggers que analizaron estaban usando Zoho para enviar por correo electrónico información robada de la máquina de la víctima.

Cofense le dijo a BleepingComputer por correo electrónico que los keyloggers más comunes que ven abusar de Zoho han sido Hawkeye y el Agente Tesla. Ambos keyloggers compilarán los datos que roban y luego usarán un proveedor de correo como Zoho para transmitirlos a los atacantes.

Por ejemplo, en la imagen de abajo puede ver un correo electrónico de Hawkeye donde ha recopilado las credenciales de la cuenta de varios navegadores y las ha enviado de vuelta al atacante.


Cofense también informó que, debido a la facilidad de acceso a los keyloggers, los actores no técnicos pueden implementarlos fácilmente y ponerlos en funcionamiento con un servicio como Zoho.

"El aumento en Keyloggers parece coincidir con una explosión real del modelo Malware-as-a-Service", dijo Cofense . "Al abstraer todas las partes difíciles del malware, es decir, su autoría y su configuración posterior, es trivial para los actores totalmente no técnicos comprar un keylogger listo para su uso que esté listo para implementarse. Con Phishing-as-a-Service También en existencia, es posible que los atacantes potenciales obtengan la entrega de malware de extremo a extremo sin tener que ejecutar un solo comando.

Zoho es atractivo para los atacantes por varias razones. Primero, son una solución de SaaS. Las organizaciones basadas en la nube son un objetivo importante para los actores de amenazas debido a la gran cantidad y la variación en la demografía de sus usuarios finales. Por ejemplo: si una plataforma tiene más de 30 millones de usuarios, incluso si una pequeña fracción del porcentaje tiene sus cuentas comprometidas, genera una gran huella de control y control para los actores de amenazas. Además, al no imponer características de seguridad estrictas, como la autenticación multifactor y los controles sueltos en torno a la creación de cuentas, crea una exposición de riesgo adicional. Un script algo simple, por ejemplo, podría proporcionar a un atacante la capacidad de automatizar completamente la creación de cuentas en este tipo de escenario ".

Para restringir el abuso, Zoho ha dicho que instituirán nuevas políticas que todas las cuentas gratuitas de Zoho.com deben seguir.

Estas son algunas de las acciones que estamos en el proceso de exigir para nuestras cuentas gratuitas @ zoho.com:
  • Obligando la verificación móvil para todos los registros de nuevas cuentas
  • Cambiar el SPF de zoho.com a "hard fail" para que los correos que no provienen de nuestros servidores sean marcados como spam por los servidores destinatarios. Más detalles aquí: https://help.zoho.com/portal/community/topic/preventing-spam-emails-using-zoho-com-enforcing-spf-dkim-and-dmarc-for-zoho-com-accounts. Como se mencionó en la publicación, también planeamos implementar DKIM para el dominio zoho.com y seguir publicando nuestra política DMARC
  • Bloqueo de usuarios libres con patrones de inicio de sesión sospechosos, especialmente para SMTP salientes, para garantizar que no utilicen las identificaciones de correo electrónico de Zoho con intención maliciosa.
  • Nuestros nuevos algoritmos mejorados ya han bloqueado miles de patrones de inicio de sesión sospechosos solo en los últimos días. Aunque Zoho Mail admite 1, 2 arriba y tiene la posibilidad de habilitar TFA también, su implementación para los usuarios de @zoho.com también puede causar problemas en algunos casos de uso genuinos y, por lo tanto, no lo hemos exigido hasta ahora.
  • Además, habilitar TFA solo puede no ayudar, ya que los usuarios aún pueden crear contraseñas específicas de aplicaciones y usarlas para el envío automatizado. TFA solo ayuda a prevenir el acceso no autorizado en las cuentas de otros usuarios.