Los atacantes habrían estado actuando desde 2007, al menos, según las investigaciones publicadas por Trend Micro bajo el nombre de Operation Pawn Storm. Los delincuentes usaron distintas técnicas para comprometer a sus objetivos a lo largo de esos años, incluyendo mails de phishing con adjuntos falsos de Microsoft Office que instalaban un malware llamado SEDNIT o Sofacy, o exploits selectivos injectados en websites. Usaron particularmente el phishing para atacar a organizaciones que usan Outlook Web App (OWA), que forma parte de Microsoft  Office 365 Service.

Para cada ataque de phishing el grupo creaba dos dominios falsos, uno muy parecido a una web conocida por las víctimas y otro similar al dominio utilizado por la organización para implementación de Outlook Web App. Los atacantes creaban emails phishing con links al site falso donde alojaban código Java Script no malicioso con el doble objetivo de abrir el sitio legitimo real en una pestaña y redirigir la abierta en el navegador Outlook Web App a una página de phishing.

“JavaScript lo haría aparecer al mismo tiempo que la sesión Outlook Web App finalizaba, engañándoles para que volvieran a meter sus credenciales”, explica Trend Micro en el informe.

Esta técnica no explotaba ninguna vulnerabilidad y funcionaba con cualquier navegador común, incluyendo Internet Explorer, Mozilla Firefox, Google Chrome y Safari. No obstante era necesario que las víctimas usaran el servicio Outlook Web App y que clicaran en los links embebidos en el panel de visualización previa. Al estar en una supuesta web legitima las víctimas no revisaban si había cambiado la URL antes de meter de nuevo sus claves.

– Lucian Constantin, IDG News Service