Un atacante desconocido pasó al menos cinco meses dentro de los buzones de Outlook de altos ejecutivos de una importante bolsa de valores mundial, copiando bandejas de entrada en lotes pequeños y repetidos y enrutandolas a través de Dropbox y OneDrive, asegurando que el tráfico se mezclara con la actividad normal de la nube.
El equipo Threat Hunter de Symantec y Carbon Black informaron sobre esta campaña esta semana. Esto indica espionaje, no extorsión monetaria. Symantec dijo que la orden era indicativa de recopilación de inteligencia, no de robo con fines de lucro.
Los nombres de los ejecutivos y las bolsas no fueron revelados. Su valor es claro. Las bandejas de entrada de los ejecutivos de bolsa contienen detalles privados de listados, asuntos de ejecución, condiciones comerciales y planes de movimiento del mercado, así como calendarios y contactos de ejecutivos.
Cinco meses de acceso silencioso permitieron a los atacantes obtener una lectura detallada de las transacciones ejecutivas y la dirección de la organización sin acceso extenso a otros sistemas comerciales.
La primera actividad maliciosa apareció el 10 de octubre de 2025. En ese momento, el atacante ya estaba ejecutando dos archivos binarios como SISTEMA (el nivel de privilegio más alto en Windows). Uno falsificó el actualizador de Adobe y el otro falsificó OneDrive. Cuando los defensores se dieron cuenta de algo, el intruso tenía control total de la máquina y aún no está claro cómo entraron en primer lugar.
Sin embargo, Symantec confirmó que los signos iniciales probablemente provinieron del movimiento lateral de un dispositivo previamente comprometido. El ataque comenzó en serio el 12 de noviembre. El atacante obtuvo un token API de Dropbox, comenzó a cargar datos usando curl e implementó una herramienta clave: Mailbox Stealer, que está construido sobre Aspose, una biblioteca .NET legítima que lee archivos OST y PST de Outlook. Está incluido en un archivo ejecutable, convierte el buzón a PST y lo escribe en el disco, y se ejecuta con la contraseña y el indicador de rango de fechas cada vez.
La primera ejecución recuperó todo desde agosto de 2025. Luego, los atacantes regresaron cada dos o cuatro semanas, cada ejecución solo unos días después de la última, lo que resultó en ocho retiradas más hasta el 17 de febrero de 2026. El resultado fue una copia casi continua del buzón, cortada lo suficientemente delgada como para evitar atraer la atención del software de seguridad.
El sigilo surge de hacer que el trabajo parezca normal. Tareas programadas como servicios del sistema para Adobe, Lenovo y OneDrive. Los atacantes utilizaron Dropbox y OneDrive Personal para el robo y, en el caso de OneDrive, se conectaron a una dirección IP de Microsoft codificada en lugar del nombre de host onedrive.live.com, por lo que no hubo búsquedas de DNS para que las herramientas perimetrales capturaran o bloquearan.
Los atacantes probaron el servidor de archivos público temp.sh una vez en noviembre y luego lo abandonaron. La última actividad observada fue una nueva puerta trasera el 19 de marzo de 2026 que se organizó pero nunca se ejecutó, lo que podría significar que los atacantes perdieron el acceso poco después, dijo Elias.
Las métricas publicadas por Symantec apuntan a un kit de intrusión más amplio que un simple capturador de buzones de correo. FRPC para canalizar el tráfico, Secretsdump para recuperar credenciales de Windows, SharpDecryptPwd para recuperar contraseñas de aplicaciones guardadas y herramientas para evitar el Control de cuentas de usuario de Windows. El informe no dice cómo se utilizó cada uno aquí y ninguno señala a un grupo específico.
No hay CVE en esta historia. Esto no fue una explotación de una falla recientemente revelada, sino más bien una intrusión en un buzón de correo personal. Estas son algunas de las razones por las que vale la pena leer este libro. No existe ningún parche para resolver este problema y la carga pasa a ser monitorear y responder.
La atribución tampoco está resuelta. La combinación de herramientas públicas y servicios de nube para consumidores deja poco espacio para vincular la actividad con atacantes conocidos, y la información sigue sin resolverse hasta que fuentes más poderosas digan lo contrario. Disfrazar las infracciones a través de Dropbox o OneDrive es una táctica muy usada, una que Microsoft advirtió que era una forma deliberada de eludir las defensas perimetrales y la atribución vaga.
Si eres defensor de una bolsa, un regulador o una empresa con información que mueve el mercado, ingresa tu hash hoy y observa lo que sucede detrás de él. Estos incluyen actividad inusual de exportación de buzones de correo, acceso inusual a Outlook, cargas a cuentas personales de Dropbox o OneDrive, túneles inesperados y volcados de credenciales en sistemas asociados con usuarios privilegiados.
Source link
