IKEA, la famosa tienda escandinava de muebles y artículos para el hogar, ha sufrido un ataque informático en el que los ciberdelincuentes se dirigen a los empleados en amenazas de phishing.
Este problema ocurre cuando ‘los malos’ roban el correo electrónico corporativo legítimo y proceden a responder con enlaces vinculados a documentos maliciosos que instalan malware en los dispositivos de los destinatarios. Desafortunadamente, es muy probable que los usuarios abran dichos emails porque se envían desde los servidores internos de la tienda.
IKEA ha advertido a sus empleados del ataque de phishing en cadena de respuesta que está dirigido a los buzones internos. El medio BleepingComputer ha podido leer uno de los correos que ha enviado la empresa a sus empleados, informando que “el ataque puede provenir por correo electrónico de algún trabajador, de cualquier organización externa y como respuesta a conversaciones que ya están en curso. Por lo tanto, es difícil de detectar, por lo que pedimos que sean más cautelosos”.
Los técnicos informáticos de IKEA advierten a los empleados que los emails contienen enlaces con siete dígitos, además, en el caso de que la plantilla reciba estos correos, los especialistas piden que no los abran -independientemente de quién los haya enviado- y que informen de inmediato a los técnicos.
Así se ven los correos maliciosos
Los ciberdelincuentes han empezado a comprometer a los servidores internos de Microsoft Exchange a través de las vulnerabilidades ‘ProxyShell’ y ‘Proxy Login’ para realizar los ataques de phishing.
Como los emails se envían desde los servidores internos y cadenas de correo electrónicos existentes, es cierto que hay un mayor nivel de confianza en que no sean maliciosos. Mientras tanto, IKEA está empezando a liberar emails hasta que se resuelva el ataque.
Esto es lo que pasa cuando abres un email
Como se puede ver en la imagen de arriba, a partir de las URL compartidas en el correo, los navegadores son redirigidos a una descarga llamada ‘chartz.zip’ que contiene un documento de Excel malicioso en el que supuestamente se deberán habilitar los botones ‘Habilitar contenido’ o ‘Habilitar edición’.
En el caso de activarlos, se ejecutarán los archivos 'besta.ocx', 'bestb.ocx' y 'bestc.ocx' desde un sitio remoto y se guardarán en la carpeta C: \ Datop. Además, los ciberdelincuentes han instalado los troyanos ‘Qbot’ y ‘Emotet’ para poner en compromiso a la red y desplegar un ransomware.
La respuesta de Ingka Group a 20Bits
Ingka Group ha afirmado para 20Bits que "se ha detectado recientemente un aumento en intentos de ataques de phishing a su plantilla y varias organizaciones externas fuera de Ingka Group han sido identificadas como fuentes de estos correos electrónicos fraudulentos.
Se han tomado medidas para evitar cualquier impacto en los clientes, empleados y socios comerciales de IKEA. Ingka Group está ayudando al mayor ecosistema de IKEA a protegerse contra esta amenaza y en todo caso, vemos preciso señalar que no hay indicios de que los datos personales estén en riesgo o se hayan visto comprometidos".
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios