Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., pionero y líder global en soluciones de ciberseguridad, ha identificado una nueva campaña de phishing que se aprovecha del uso de Dynamics 365 Customer Voice, el software de gestión de relaciones con clientes de Microsoft. La aplicación, utilizada más de 2 millones de empresas en todo el mundo, según Statista, permite grabar llamadas con clientes, realizar encuestas, supervisar valoraciones y recoger feedback, lo que la convierte en un blanco atractivo para los ciberdelincuentes.

Hasta la fecha, se han identificado más de 3.370 correos electrónicos maliciosos, dirigidos a más de 350 empresas, en su mayoría con sede en EE. UU., afectando a más de un millón de buzones. Las entidades comprometidas incluyen universidades, medios de comunicación, grupos comunitarios, organizaciones culturales y de salud, entre otras.

En esta operación, los atacantes envían archivos comerciales e incluso facturas desde cuentas previamente comprometidas. Estos correos incluyen enlaces falsos que aparentan provenir de Microsoft Dynamics 365 Customer Voice. El diseño de estos es muy convincente, lo que facilita que los destinatarios caigan en la trampa.

Los asuntos de estos mensajes suelen girar en torno a temas financieros, tales como: declaraciones de liquidación, pagos electrónicos (EFT), documentos ALTA o divulgaciones de cierre. Los enlaces fraudulentos redirigen a páginas que aparentan mostrar un mensaje de voz o un archivo PDF. Algunos correos incluso mezclan enlaces legítimos con otros falsos para aumentar su credibilidad.

Cuando las víctimas hacen clic en los enlaces maliciosos, son redirigidas a una prueba CAPTCHA, diseñada para aparentar legitimidad. Posteriormente, se accede a una página falsa de inicio de sesión de Microsoft, donde se busca robar las credenciales del usuario.

Impacto, consecuencias y estrategias de mitigación
El objetivo principal de esta campaña es el robo de credenciales. Si los atacantes tienen éxito, pueden obtener acceso no autorizado a sistemas internos, robar información sensible, fondos e incluso interrumpir operaciones empresariales.

Microsoft ha bloqueado algunas de las páginas utilizadas en esta campaña, aunque ciertos correos pudieron haber alcanzado las bandejas de entrada antes de que estas fueran eliminadas.

Check Point Software recomienda a los responsables de ciberseguridad informar a sus empleados sobre la existencia de este tipo de campañas, así como verificar siempre el origen de correos sospechosos, especialmente si aparentan provenir de servicios de Microsoft como Dynamics 365 Customer Voice.

“Las organizaciones deben implementar soluciones avanzadas de seguridad de correo electrónico, preferiblemente con capacidades de IA, protección en la nube y mecanismos integrados de detección de amenazas”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Check Point Software ha bloqueado de forma proactiva esta campaña mediante la extracción de enlaces maliciosos e incorporación de nuevas capas de protección en sus productos”.