Novo Phishing no Zoom Abusa do Constant Contact para Contornar SEG

O desafiador ano de 2020 viu muitas empresas aumentarem sua dependência da internet, deslocando-se para forças de trabalho em home office. Tal tendência resultou em um aumento explosivo no uso de aplicativos de videoconferência. Os cibercriminosos não perderam a oportunidade de favorecer suas perspectivas maliciosas. A partir da primavera de 2020, eles registraram muitos domínios falsos para entregar anúncios maliciosos e executáveis. Além disso, o “boom” das videoconferências abriu amplas oportunidades para a ciberespionagem. Essa tendência continua ganhando força este ano. Em janeiro de 2021, pesquisadores de segurança avistaram mais uma campanha aproveitando-se do phishing no Zoom.

Novo Phishing no Zoom

O novo atrativo tenta se passar pelo suporte do Zoom para roubo de credenciais. Em particular, os usuários recebem um e-mail falso afirmando que um servidor Zoom foi atualizado e que todos os clientes devem verificar suas contas para manter a capacidade de convidar ou participar de chamadas. A mensagem oferece aos usuários seguir o link, que os redireciona para uma página falsa de phishing capaz de coletar credenciais. Todos os e-mails exibem “Zoom – no-reply@zoom(.)us” no campo “De”, enganando as vítimas a acreditarem que o e-mail foi realmente enviado pelo Zoom.

Notavelmente, os e-mails de phishing foram enviados via serviço de marketing por e-mail Constant Contact. Hackers comprometeram a conta de um único usuário para disseminar os ataques, presumivelmente na tentativa de contornar diferentes Portais de E-mail Seguros (SEGs). Pesquisadores confirmam que esse método foi bem-sucedido, já que e-mails falsos foram detectados em pelo menos cinco ambientes SEG.

Detecção de Ataques no Zoom

A equipe da SOC Prime está acompanhando de perto os ataques ao Zoom para entregar detecções em alta velocidade e garantir uma defesa proativa contra essas ameaças. Anteriormente, publicamos um guia prático para os usuários fortalecerem o serviço Zoom. Além disso, você pode baixar quase duas dezenas de regras do Marketplace de Detecção de Ameaças para melhorar sua defesa contra domínios falsos do Zoom, instaladores falsos e convites fraudulentos.

Uma regra comunitária dedicada à última campanha de phishing já está disponível no Marketplace de Detecção de Ameaças graças a Osman Demir, um dos desenvolvedores mais prolíficos do Threat Bounty:

https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Spearphishing Link (T1566)

Procurando o melhor conteúdo SOC para aprimorar suas capacidades no combate a ameaças cibernéticas emergentes dinamicamente? Obtenha uma assinatura gratuita do Marketplace de Detecção de Ameaças e reduza o tempo médio de detecção de ciberataques com nossa biblioteca de conteúdo SOC com mais de 90.000 itens. Quer criar suas próprias regras Sigma e melhorar as iniciativas de caça a ameaças? Participe do nosso programa Threat Bounty para compartilhar suas percepções com a comunidade SOC Prime!