Ikea, objetivo de un ciberataque de suplantación de identidad

La compañía sueca Ikea ha informado a sus trabajadores de que no deben abrir ningún correo electrónico que contenga enlaces con siete digitos al final, aún en el caso de que el remitente parezca de confianza, debido a que hay un ciberataque en curso que tiene como objetivo los buzones de Inter Ikea. El medio Bleeping Computer ha podido hacerse con uno de los mails internos de la compañía que advierte a sus empleados de la situación y aconseja extremar las medidas de precaución.

“Hay un ciberataque en curso que tiene como objetivo los buzones de correo de Inter IKEA. Otras organizaciones, proveedores y socios comerciales de IKEA se ven comprometidos por el mismo ataque y siguen difundiendo correos electrónicos maliciosos a personas de Inter IKEA”, reza el mail interno de la compañía. Inter Ikea es la sociedad gestora que posee toda la propiedad intelectual de la marca Ikea.

El ataque frente al que ha alertado Ikea a sus empleados se encuadra en la categoría de “phishing” o suplantación de identidad y tiene como objetivo la descarga de software malicioso en los ordenadores de la red de la compañía. De conseguirlo, puede conducir a un ataque “ramsonware” que encripte los ordenadores de la red hasta acceder a las peticiones de los ciberatacantes, entre otras posibles amenazas.

“Esto significa que el ataque puede provenir por correo electrónico de alguien con quien trabaja, de cualquier organización externa y como respuesta a una conversación que ya está en curso. Por lo tanto, es difícil de detectar, por lo que le pedimos que tenga mucho cuidado” continúa el mail envíado por Ikea.

En este caso, el método utilizado por los atacantes es el de incorporarse a conversaciones de correo ya en marcha con credenciales corporativas robadas. De esta forma, cualquier invitación a descargar un archivo que oculte “malware” tiene más posibilidades de prosperar dado que no se percibe la fuente como una amenaza.

Bleeping Computer ha podido confirmar algunos detalles más de la táctica empleada por los ciber atacantes. Los correos “phishing” contienen enlaces con una serie de siete dígitos al final. Cuando la víctima hace clic en la URL facilitada en el mail fraudulento, es redirigido a la descarga de un archivo comprimido llamado “charts.zip” que contiene un documento Excel malicioso. Este documento, bajo engaño, indica como deshabilitar las protecciones de Excel para ejecutar macros (conjuntos de instrucciones) que provocan la descarga en el equipo del troyano Qbot. Este “malware” es conocido por emplearse en esquemas de “ramsonware”.

Ikea ha explicado en un comunicado que “se ha detectado un aumento en los intentos de ataques de “phishing” a la plantilla y varias organizaciones externas fuera de Ingka Group han sido identificadas como fuentes de estos correos electrónicos fraudulentos”. La compañía sueca también ha asegurado que “no hay indicios de que datos personales estén en riesgo o se hayan visto comprometidos”.