Los sistemas de correo electrónico de IKEA se ven afectados por un ciberataque en curso

IKEA está luchando contra un ciberataque en curso en el que los actores de amenazas se dirigen a los empleados en ataques internos de phishing utilizando correos electrónicos robados de la cadena de respuesta.

Un ataque de correo electrónico de cadena de respuesta ocurre cuando los actores de amenazas roban el correo electrónico corporativo legítimo y luego les responden con enlaces a documentos maliciosos que instalan malware en los dispositivos de los destinatarios.

Como los correos electrónicos de la cadena de respuesta son correos electrónicos legítimos de una empresa y, por lo general, se envían desde cuentas de correo electrónico comprometidas y servidores internos, los destinatarios confiarán en el correo electrónico y es más probable que abran los documentos maliciosos.

IKEA lidiando con un ataque en curso

En los correos electrónicos internos vistos por BleepingComputer, IKEA advierte a los empleados sobre un ataque cibernético de phishing en cadena de respuesta en curso dirigido a los buzones de correo internos. Estos correos electrónicos también se envían desde otras organizaciones y socios comerciales de IKEA comprometidos.

«Hay un ataque cibernético en curso que tiene como objetivo los buzones de correo de Inter IKEA. Otras organizaciones, proveedores y socios comerciales de IKEA se ven comprometidos por el mismo ataque y están difundiendo correos electrónicos maliciosos a personas en Inter IKEA», explica un correo electrónico interno enviado a IKEA. empleados y visto por Bleeping Computer.

«Esto significa que el ataque puede provenir por correo electrónico de alguien con quien trabaja, de cualquier organización externa, y como respuesta a conversaciones ya en curso. Por lo tanto, es difícil de detectar, por lo que le pedimos que sea más cauteloso».

Los equipos de TI de IKEA advierten a los empleados que los correos electrónicos de la cadena de respuesta contienen enlaces con siete dígitos al final y compartieron un correo electrónico de ejemplo, como se muestra a continuación. Además, se les pide a los empleados que no abran los correos electrónicos, independientemente de quién los haya enviado, y que los informen al departamento de TI de inmediato.

También se les dice a los destinatarios que le digan al remitente de los correos electrónicos a través del chat de Microsoft Teams que informe los correos electrónicos.

Los actores de amenazas han comenzado recientemente a comprometer los servidores internos de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogin para realizar ataques de phishing.

Una vez que obtienen acceso a un servidor, utilizan los servidores internos de Microsoft Exchange para realizar ataques de cadena de respuesta contra los empleados que utilizan correos electrónicos corporativos robados.

Como los correos electrónicos se envían desde servidores internos comprometidos y cadenas de correo electrónico existentes, existe un mayor nivel de confianza en que los correos electrónicos no son maliciosos.

También existe la preocupación de que los destinatarios puedan liberar los correos electrónicos de phishing maliciosos de la cuarentena, pensando que fueron atrapados en los filtros por error. Debido a esto, están deshabilitando la capacidad de los empleados para liberar correos electrónicos hasta que se resuelva el ataque.

«Nuestros filtros de correo electrónico pueden identificar algunos de los correos electrónicos maliciosos y ponerlos en cuarentena. Debido a que el correo electrónico podría ser una respuesta a una conversación en curso, es fácil pensar que el filtro de correo electrónico cometió un error y liberó el correo electrónico de la cuarentena. hasta nuevo aviso desactivando la posibilidad de que todos liberen correos electrónicos de la cuarentena «, comunicó IKEA a los empleados.

Si bien IKEA no ha respondido a nuestros correos electrónicos sobre el ataque y no ha revelado a los empleados si los servidores internos se vieron comprometidos, parece que están sufriendo un ataque similar.

Ataque utilizado para propagar el troyano Emotet o Qbot

A partir de las URL compartidas en el correo electrónico de phishing redactado anteriormente, BleepingComputer ha podido identificar el ataque dirigido a IKEA.

Al visitar estas URL, un navegador será redirigido a una descarga llamada ‘charts.zip’ que contiene un documento de Excel malicioso. Este archivo adjunto les dice a los destinatarios que hagan clic en los botones ‘Habilitar contenido’ o ‘Habilitar edición’ para verlo correctamente, como se muestra a continuación.

Una vez que se hace clic en esos botones, se ejecutarán macros maliciosas que descargan archivos llamados ‘besta.ocx’, ‘bestb.ocx’ y ‘bestc.ocx’ desde un sitio remoto y los guardan en la carpeta C: Datop.

Estos archivos OCX se renombran como DLL y se ejecutan mediante el comando regsvr32.exe para instalar la carga útil del malware.

Campañas que utilizan este método ha sido visto instalar el troyano Qbot (también conocido como QakBot y Quakbot) y posiblemente Emotet basado en un Envío de VirusTotal encontrado por BleepingComputer.

Los troyanos Qbot y Emotet conducen a un mayor compromiso de la red y, en última instancia, al despliegue de ransomware en una red vulnerada.

Debido a la gravedad de estas infecciones y al probable compromiso de sus servidores Microsoft Exchange, IKEA está tratando este incidente de seguridad como un ciberataque significativo que podría conducir a un ataque mucho más perturbador.