Los ciberdelincuentes tienden a utilizar estos servicios para distribuir amenazas. Ha sucedido con Google Drive y ahora es el turno para el servicio de almacenamiento de Microsoft. Se están valiendo de OneDrive para almacenar amenazas y posteriormente distribuirlas haciendo uso de correos electrónicos spam con enlaces al contenido indicado.
Los expertos en seguridad han opinado sobre esta práctica, informando que se tratan de servicios que permiten a los ciberdelincuentes distribuir malware haciendo uso de enlaces legítimos. Dridex y Ursnif son dos de las amenazas detectadas en este servicio de almacenamiento. Añaden que por lo general buscan la difusión de troyanos bancarios, algo que coincide sobre todo con las fechas en las que nos encontramos en la actualidad.
Con respecto a la vía de difusión, ya hemos adelantado que se están valiendo de correos electrónicos spam que presentan una temática muy variada, pero en todos los casos relacionada con compras en tiendas en línea, adjuntando la amenaza como documento de texto o bien como enlace en el cuerpo del mensaje. Al pertenecer a servicios de almacenamiento este no levanta sospechas entre los usuarios.
OneDrive almacena un fichero Javascript que distribuye la amenaza
Los expertos en seguridad han desgranado algunos aspectos fundamentales. El archivo que se descarga no es el instalador directo, sino que se trata de un fichero programado en lenguaje Javascript que permite descargar el instalador de la amenaza que está llamada a afectar a usuarios con sistema operativo Windows.
Pero existe un truco que permite publicar este tipo de contenidos. Los expertos han desvelado con la ayuda de Microsoft que los ciberdelincuentes se están valiendo de cuentas del servicio de almacenamiento que se han visto comprometidas. Esto juega en contra del usuario, sobre todo porque comprometer este tipo de cuentas, tanto en el caso de los de Redmond como por ejemplo en Google Drive implica el acceso a otros servicios, y esto quiere decir que información sensible podría verse afectando, además de la almacenada en los servicios de almacenamiento.
Es decir, además de valerse de los enlaces que ofrece el servicio de almacenamiento los ciberdelincuentes poseen a su disposición cuentas de correo electrónico para distribuir las amenazas.
Secuestro de cuentas
Aprovechando que las cuentas están desprotegidas, los atacantes están modificando las contraseñas de acceso y la configuración de recuperación para bloquear el acceso y la recuperación de las mismas. Es decir, un secuestro de cuentas que no es habitual en este tipo de ataques. Por este motivo se pide fijar contraseñas que no sean triviales y evitar introducir los datos de acceso en páginas web cuya apariencia sea cuanto menos sospechosa.