Ataques de phishing mediante mensajes de correo con acceso restringido

La aplicación de gestión del correo electrónico Microsoft Outlook dispone de configuraciones de privacidad que permiten restringir las opciones de visualización, impresión o reenvío de un mensaje una vez que ya ha llegado a su destino.

Cuando se envía un mensaje con esas características de confidencialidad activadas, se crea un archivo con el formato RPMSG (Restricted Permission Message) que va adjunto al mensaje de correo. Si el receptor utiliza también Microsoft Outlook y sus credenciales le otorgan permiso para el acceso según las restricciones impuestas por el remitente, el proceso será transparente y accederá de manera automática al mensaje inicial. En caso contrario, se mostrará un adjunto con la extensión RPMSG que solicitará que sean proporcionadas unas credenciales con privilegios suficientes antes de permitir la visualización.

Recientemente se han comenzado a detectar archivos adjuntos RPMSG cifrados enviados a través de cuentas comprometidas de Microsoft 365 con propósitos fraudulentos. El objetivo de estos mensajes es obtener credenciales de Microsoft mediante ataques de phishing diseñados para evadir la detección de las protecciones de seguridad del correo electrónico. Los destinatarios que deseen leerlos deben autenticarse con su cuenta Microsoft u obtener un código de acceso de un solo uso para descifrar el contenido, pero los requisitos de autenticación de RPMSG están siendo explotados para engañar a las víctimas de modo que entreguen sus credenciales de Microsoft a los atacantes.

Una vez que el destinatario ha solicitado acceso al archivo, y tras una primera autenticación legítima, se ofrecerá acceso a otro archivo en SharePoint, y al tratar de leerlo se abrirá una nueva página con un formulario de inicio de sesión clonado de Microsoft 365 que enviará los nombres de usuario y contraseñas introducidos a los servidores controlados por el atacante.

Los archivos adjuntos RPMSG cifrados ocultan los mensajes de phishing de los sistemas de análisis de correo electrónico, dado que el único hipervínculo en el mensaje inicial dirige a las víctimas potenciales a un servicio legítimo de Microsoft.

La mejor defensa consiste en la concienciación de los usuarios sobre la naturaleza de las amenazas para que no intenten descifrar o desbloquear mensajes inesperados de fuentes externas.