Alarma por ataques de phishing a través de Adobe InDesign

Ataques phishing Adobe InDesign
Los ataques de phishing siguen en aumento otro año más, y esta vez el protagonista es el programa de diseño gráfico Adobe InDesign, que ha sido el cebo para realizar este tipo de ataque de ingeniería social.

Comparte esta entrada

Así lo confirma una investigación de la empresa Barracuda, donde se señala un aumento del 30% en ataque de phishing por correo electrónico a través de la plataforma de diseño gráfico Adobe InDesign.

Se ha pasado de 75 correos diarios a 2.000 al día, lo que evidencia la gran amenaza latente sobre las organizaciones.

En la actualidad, el panorama de la ciberseguridad está presenciando un preocupante incremento en los ataques de phishing, con un enfoque particularmente astuto y sofisticado: el uso de Adobe InDesign

Esta herramienta de diseño gráfico, ampliamente reconocida y utilizada para la maquetación de páginas y la creación de documentos impresos, digitales e interactivos, se ha convertido en un vehículo inesperado para ciberdelincuentes. 

Por lo tanto y según las recientes observaciones de Barracuda, una empresa líder en soluciones de seguridad, la frecuencia de estos ataques ha experimentado un alarmante aumento, pasando de un promedio de 75 correos electrónicos diarios a alrededor de 2.000, marcando un crecimiento exponencial desde octubre.

¿Cómo se producen estos ataques de phishing en Adobe InDesign?

Inicialmente, Barracuda ha detectado un aumento drástico en correos maliciosos relacionados con Adobe InDesign desde octubre. Diariamente, el promedio ha saltado de 75 a casi 2.000 correos. De estos, un 9% incluye enlaces de phishing y otro 20% tiene contenido sospechoso.

Además, los enlaces de phishing identificados frecuentemente usan dominios «.ru». Estos están ocultos detrás de redes CDN, complicando su detección y bloqueo por parte de las medidas de seguridad.

Particularmente, ciertos ataques apuntan a empresas o usuarios específicos, empleando logotipos de marcas reconocidas. Esto indica que los atacantes personalizan cuidadosamente sus correos para aumentar las posibilidades de éxito.

Generalmente, la mayoría de los ataques incluyen mensajes genéricos con logotipos de OneDrive, SharePoint y Adobe. Algunos presentan textos muy básicos, mostrando un esfuerzo mínimo en su elaboración.

En consecuencia, estos ataques mantienen una estrategia consistente, invitando a los destinatarios a clickear enlaces que redirigen a páginas controladas por ciberdelincuentes, preparando así la etapa siguiente del ataque.

¿Qué explica el éxito de estos ataques de phishing en Adobe InDesign?

Así mismo, estos ataques se vuelven más complejos y avanzados, utilizando variadas estrategias para eludir sistemas de seguridad y capturar víctimas. Los agresores que usan Adobe InDesign aplican múltiples técnicas para burlar la detección y engañar a los destinatarios de la siguiente manera:

En primer lugar, se basan en dominios reputados y confiables, raramente incluidos en listas negras. Luego, crean convincentes campañas de ingeniería social usando software de edición. 

Acto seguido, tras hacer clic en el enlace, el receptor es redireccionado a otra página web. Dado que no hay enlaces directos a URLs maliciosas en el mensaje principal, las herramientas de seguridad convencionales no logran identificar ni bloquear la amenaza. En situaciones donde los ataques están camuflados tras una CDN, se dificulta aún más la detección y bloqueo del contenido malicioso.

En conclusión, solo a través de la concienciación y formación en ciberseguridad por parte de los empleados se podrán reducir los intentos exitosos de ataques de ingeniería social.

Cabe resaltar también que el coste de los ciberataques promedio derivado de la totalidad de los ciberataques dirigidos a empresas en España ha vuelto a aumentar por segundo año consecutivo, registrando un incremento del 43% en 2022 con respecto al año anterior.

Por ende, el aumento de ataques de phishing obliga a las empresas a elevar su estrategia de ciberseguridad y enfocarla más a empoderar el factor humano, que constituye el eslabón más débil y vulnerable.

La solución contra el phishing: Zepo

Da de alta a tus empleados.

Puedes hacerlo de forma manual o a través de un CSV.

Puedes crear grupos de empleados en función del grado de conocimiento y concienciación que tengan sobre los ciberataques.

Lanza ataques y pon a prueba a tus equipos.

Podrás comprobar en tiempo real quiénes caen en la trampa.

Creamos plantillas personalizadas para tus campañas, en función de los bancos y proveedores con los que trabajáis. Nadie sabrá que es una simulación.

Fórmales en prevención de ciberataques.

Crea cursos personalizados en materia de prevención. 3 minutos al mes.

Basta de cursos aburridos y obligatorios. Con Zepo, aprenderás y te divertirás a la vez.

Más para explorar

¿Estás listo para empezar?

Vea cómo Zepo puede ayudar a su organización a trabajar protegida.