IKEA advierte a sus empleados Conocido como Reply-change es una técnica muy eficaz de propagar malware más alla de la red corporativa.
La filial Inter Ikea sufre un ataque por cadena de respuesta, esto ocurre cuando los atacantes roban buzones de correo corporativo legítimos y responden con copia a todos incluyendo enlaces o documentos infectados. Estos correos logicamente, pretenden llegar a infectar también a redes externas de la cadena de fabricación, distribución o suministro.
Como los correos electrónicos pertenecen a usuarios y empleados legítimos de una empresa y suelen provenir de servidores internos, los destinatarios confiarán en el correo electrónico y es más probable que abran los documentos maliciosos.
Los ciberdelincuentes han comenzado ultimamente a comprometer los servidores internos de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogin para realizar ataques de phishing.
Una vez que obtienen acceso a un servidor, utilizan los servidores internos de Microsoft Exchange para realizar ataques como este contra los propios empleados utilizando su propia infraestructura.
¿Que malware estan intentando propagar en el ciberataque a IKEA? De momento se han detectado los troyanos Emotet o Qbot
Segun información extraída por emails a los que ha tenido acceso el poratl Bleepingcomputer los destinatarios son redirigidos a una URL de descarga de un archivo llamado “chart.zip” que contiene un excel con macros que al ser habilitadas provocan una cadena de eventos hasta poder ejecutar mediante comandos la instalación del malware.
Tanto Qbot como Emotet dan la capacidad al atacante de desplegar ransonware por la red comprometida y nuevos ataques que pueden provocar un mayor riesgo. Tanto Emotet como Qbot son viejos conocidos entre la familia de malware bancario con el fin de robar información confidencial y privada.
Debido a la severidad del ataque y potencial escalada iremos actualizando la información en futuros posts.
