Ataques de phishing mediante mensaxes de correo con acceso restrinxido

A aplicación de xestión do correo electrónico Microsoft Outlook dispón de configuracións de privacidade que permiten restrinxir as opcións de visualización, impresión ou reenvío dunha mensaxe unha vez que xa chegou ao seu destino.

Cando se envía unha mensaxe con esas características de confidencialidade activadas, créase un arquivo co formato RPMSG (Restricted Permission Message) que vai adxunto á mensaxe de correo. Se o receptor utiliza tamén Microsoft Outlook e as súas credenciais outórganlle permiso para o acceso segundo as restricións impostas polo remitente, o proceso será transparente e accederá de maneira automática á mensaxe inicial. En caso contrario, mostrarase un adxunto coa extensión RPMSG que solicitará que sexan proporcionadas unhas credenciais con privilexios suficientes antes de permitir a visualización.

Recentemente comezáronse a detectar arquivos adxuntos RPMSG cifrados enviados a través de contas comprometidas de Microsoft 365 con propósitos fraudulentos. O obxectivo destas mensaxes é obter credenciais de Microsoft mediante ataques de phishing deseñados para evadir a detección das proteccións de seguridade do correo electrónico. Os destinatarios que desexen lelos deben autenticarse coa súa conta Microsoft ou obter un código de acceso dun só uso para descifrar o contido, pero os requisitos de autenticación de RPMSG están a ser explotados para enganar ás vítimas de modo que entreguen as súas credenciais de Microsoft aos atacantes.

Unha vez que o destinatario solicitou acceso ao arquivo, e tras unha primeira autenticación lexítima, ofrecerase acceso a outro arquivo en SharePoint, e ao tratar de lelo abrirase unha nova páxina cun formulario de inicio de sesión clonado de Microsoft 365 que enviará os nomes de usuario e contrasinais introducidos aos servidores controlados polo atacante.

Os arquivos adxuntos RPMSG cifrados ocultan as mensaxes de phishing dos sistemas de análise do correo electrónico, dado que o único hipervínculo na mensaxe inicial dirixe ás vítimas potenciais a un servizo lexítimo de Microsoft.

A mellor defensa consiste na concienciación dos usuarios sobre a natureza das ameazas para que non tenten descifrar ou desbloquear mensaxes inesperadas de fontes externas.