Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una campaña de phishing que se hace pasar por DHL está diseñada para robar credenciales de usuario. La cadena de ataque utiliza una página de contraseña única falsa y un portal de inicio de sesión con marca, luego exfiltra los datos capturados a través de EmailJS. Después de que se roban las credenciales, las víctimas son redirigidas al sitio web legítimo de DHL para reducir la sospecha. La operación parece dirigirse a consumidores de todo el mundo mientras depende de una infraestructura relativamente ligera.
Investigación
Forcepoint X-Labs examinó el correo electrónico de phishing, los enlaces maliciosos y el JavaScript responsable de generar una OTP del lado del cliente. Su análisis mostró que el kit de phishing recopilaba detalles del dispositivo y de la geolocalización antes de transmitir la información recogida a un buzón controlado por el atacante a través de EmailJS. Los investigadores pudieron reproducir el flujo completo del ataque en un entorno de sandbox.
Mitigación
Las organizaciones deben bloquear los dominios de remitentes sospechosos y observar los desajustes de alineación de DKIM que puedan indicar suplantación. Los equipos de seguridad también deben filtrar o bloquear las URL que dirigen a los dominios maliciosos identificados. Monitorear la actividad inesperada de EmailJS con cargas útiles inusuales puede ayudar a detectar intentos de robo de credenciales, mientras que imponer MFA en cuentas relacionadas con DHL añade otra capa de protección.
Respuesta
Los defensores deben notificar a los usuarios objetivo sobre la campaña de phishing y requerir restablecimientos de contraseña para cualquier cuenta comprometida. El correo electrónico malicioso debe ser puesto en cuarentena, y los dominios relacionados deben ser bloqueados en las capas de puerta de enlace de correo electrónico y web. Las reglas de detección también deben ser actualizadas para identificar los patrones de URL observados y el método de exfiltración basado en EmailJS.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[«<b>Acción</b> – <b>T1566 Phishing</b><br/><b>Descripción</b>: Enviar correos electrónicos maliciosos que parecen legítimos para atraer a las víctimas.<br/><b>Subtécnica</b>: Suplantación de correo electrónico (T1672)»] class phishing_email action fake_otp_page[«<b>Acción</b> – <b>T1656 Suplantación</b> y <b>T1001.003 Suplantación de Protocolo</b><br/><b>Descripción</b>: Alojar una página falsa de contraseña de un solo uso que imita el servicio objetivo.»] class fake_otp_page action gather_email[«<b>Técnica</b> – <b>T1589 Recopilar Información de Identidad de la Víctima</b><br/><b>Descripción</b>: Capturar la dirección de correo electrónico de la víctima desde la página falsa.»] class gather_email technique browser_discovery[«<b>Técnica</b> – <b>T1217 Descubrimiento de Información del Navegador</b> y <b>T1596.005 Buscar en Bases de Datos Técnicas Abiertas</b><br/><b>Descripción</b>: Enumerar detalles del navegador, dispositivo y sistema operativo del entorno de la víctima.»] class browser_discovery technique credential_harvest[«<b>Acción</b> – <b>T1056.003 Captura en Portal Web</b><br/><b>Descripción</b>: Redirigir a la víctima a un portal web de recolección de credenciales.»] class credential_harvest action exfil_emailjs[«<b>Técnica</b> – <b>T1114 Recolección de Correo Electrónico</b> y <b>T1102.002 Comunicación Bidireccional por Servicio Web</b><br/><b>Descripción</b>: Usar EmailJS para exfiltrar credenciales y datos de sesión.»] class exfil_emailjs technique legit_redirect[«<b>Acción</b> – Redirigir a la víctima al sitio legítimo de DHL después de la exfiltración de datos.»] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect
Flujo de Ataque
## Ejecución de Simulación
Prerequisito: El chequeo previo de telemetría y línea base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El adversario, con el objetivo de recolectar credenciales de DHL, falsifica el
dominio (un parecido conocido) y elabora un correo electrónico con la línea de asunto exacta utilizada en campañas recientes. Al enviar este correo a través de un servidor SMTP externo comprometido, el mensaje llega a los buzones de Exchange, produciendo registros de transporte que coinciden con los criterios de la regla.domain (a known look‑alike) and crafts an email with the exact subject line used in recent campaigns. By sending this email through a compromised external SMTP server, the message reaches the Exchange inboxes, producing transport logs that match the rule’s criteria. -
Script de Prueba de Regresión:
# Correo electrónico de phishing simulado – debería activar la regla de detección $smtpServer = "smtp.malicious-host.com" # servidor comprometido externo $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "CONFIRMACIÓN DE GUÍA AÉREA REQUERIDA DE DHL EXPRESS" Body = @" Estimado Cliente,
Una guía para su reciente envío requiere confirmación. Por favor, haga clic en el siguiente enlace para verificar sus datos:
https://malicious.example.com/verify
Saludos, DHL Express «@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **Comandos de Limpieza:**
powershell
# Eliminar el correo electrónico de prueba del buzón del destinatario (Exchange PowerShell)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"CONFIRMACIÓN DE GUÍA AÉREA REQUERIDA DE DHL EXPRESS"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false## Evaluación de Evasión y Recomendaciones de Endurecimiento
| Técnica de Evasión Potencial | Probabilidad | Impacto en la Regla | Mitigación |
|---|---|---|---|
| Alterar línea de asunto (por ejemplo, añadir espacios, cambiar mayúsculas) | Alta | La regla omite el evento | Usar regex insensible a mayúsculas y coincidencia de palabras clave difusas (subject|contains|regex: "DHLMs+EXPRESS.*WAYBILL.*REQUIRED"). |
Usar un dominio suplantado diferente (por ejemplo, dhl-express.co) |
Alta | La regla omite el evento | Incorporar detección de fallo DKIM/SPF y buscar palabras clave relacionadas con la marca conocidas independientemente del dominio del remitente. |
| Incorporar enlace malicioso pero mantener sujeto sin cambios | Medio | La regla todavía se activa (bien) | Agregar verificación de reputación de URL para aumentar la confianza. |
| Enviar como adjunto (T1192) en lugar de en el cuerpo | Low | Regla no afectada (aún coincide el sujeto) | Ampliar regla para inspeccionar metadatos adjuntos (nombres de archivo, tipos MIME). |
Recomendaciones
- Ampliar Evaluación del Remitente: En lugar de un único dominio codificado, marcar cualquier correo que falle la alineación SPF/DKIM para la marca “dhl.com” y contenga palabras clave relacionadas con DHL.
- Coincidencia Difusa del Asunto: Reemplazar coincidencia exacta de cadena con una expresión regular que capture variaciones, diferencias de caso y obfuscaciones comunes.
- Enriquecer con Reputación de URL: Analizar el cuerpo del mensaje en busca de URL; marcar si algún enlace resuelve a un anfitrión conocido como malicioso o usa acortadores de URL.
- Agregar Heurísticas de Adjuntos: Cuando la regla etiqueta
attack.t1192, incorporar verificaciones para archivos con doble extensión o scripts comúnmente usados en phishing relacionado con DHL.
Implementar estos pasos de endurecimiento elevará la puntuación de resistencia hacia 4–5, reduciendo el riesgo de evasión simple mientras se mantiene una baja tasa de falsos positivos.