Dentro de una Campaña Falsa de DHL Creada para Robar Credenciales
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una campaña de phishing que se hace pasar por DHL está diseñada para robar credenciales de usuario. La cadena de ataque utiliza una página de contraseña única falsa y un portal de inicio de sesión con marca, luego exfiltra los datos capturados a través de EmailJS. Después de que se roban las credenciales, las víctimas son redirigidas al sitio web legítimo de DHL para reducir la sospecha. La operación parece dirigirse a consumidores de todo el mundo mientras depende de una infraestructura relativamente ligera.
Investigación
Forcepoint X-Labs examinó el correo electrónico de phishing, los enlaces maliciosos y el JavaScript responsable de generar una OTP del lado del cliente. Su análisis mostró que el kit de phishing recopilaba detalles del dispositivo y de la geolocalización antes de transmitir la información recogida a un buzón controlado por el atacante a través de EmailJS. Los investigadores pudieron reproducir el flujo completo del ataque en un entorno de sandbox.
Mitigación
Las organizaciones deben bloquear los dominios de remitentes sospechosos y observar los desajustes de alineación de DKIM que puedan indicar suplantación. Los equipos de seguridad también deben filtrar o bloquear las URL que dirigen a los dominios maliciosos identificados. Monitorear la actividad inesperada de EmailJS con cargas útiles inusuales puede ayudar a detectar intentos de robo de credenciales, mientras que imponer MFA en cuentas relacionadas con DHL añade otra capa de protección.
Respuesta
Los defensores deben notificar a los usuarios objetivo sobre la campaña de phishing y requerir restablecimientos de contraseña para cualquier cuenta comprometida. El correo electrónico malicioso debe ser puesto en cuarentena, y los dominios relacionados deben ser bloqueados en las capas de puerta de enlace de correo electrónico y web. Las reglas de detección también deben ser actualizadas para identificar los patrones de URL observados y el método de exfiltración basado en EmailJS.
Flujo de Ataque
## Ejecución de Simulación
Prerequisito: El chequeo previo de telemetría y línea base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El adversario, con el objetivo de recolectar credenciales de DHL, falsifica el
dominio (un parecido conocido) y elabora un correo electrónico con la línea de asunto exacta utilizada en campañas recientes. Al enviar este correo a través de un servidor SMTP externo comprometido, el mensaje llega a los buzones de Exchange, produciendo registros de transporte que coinciden con los criterios de la regla.domain (a known look‑alike) and crafts an email with the exact subject line used in recent campaigns. By sending this email through a compromised external SMTP server, the message reaches the Exchange inboxes, producing transport logs that match the rule’s criteria. -
Script de Prueba de Regresión:
# Correo electrónico de phishing simulado – debería activar la regla de detección $smtpServer = "smtp.malicious-host.com" # servidor comprometido externo $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "CONFIRMACIÓN DE GUÍA AÉREA REQUERIDA DE DHL EXPRESS" Body = @" Estimado Cliente,
Una guía para su reciente envío requiere confirmación. Por favor, haga clic en el siguiente enlace para verificar sus datos:
https://malicious.example.com/verify
Saludos, DHL Express «@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **Comandos de Limpieza:**
powershell
# Eliminar el correo electrónico de prueba del buzón del destinatario (Exchange PowerShell)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"CONFIRMACIÓN DE GUÍA AÉREA REQUERIDA DE DHL EXPRESS"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false
## Evaluación de Evasión y Recomendaciones de Endurecimiento
| Técnica de Evasión Potencial | Probabilidad | Impacto en la Regla | Mitigación |
|---|---|---|---|
| Alterar línea de asunto (por ejemplo, añadir espacios, cambiar mayúsculas) | Alta | La regla omite el evento | Usar regex insensible a mayúsculas y coincidencia de palabras clave difusas (subject|contains|regex: "DHLMs+EXPRESS.*WAYBILL.*REQUIRED"). |
Usar un dominio suplantado diferente (por ejemplo, dhl-express.co) |
Alta | La regla omite el evento | Incorporar detección de fallo DKIM/SPF y buscar palabras clave relacionadas con la marca conocidas independientemente del dominio del remitente. |
| Incorporar enlace malicioso pero mantener sujeto sin cambios | Medio | La regla todavía se activa (bien) | Agregar verificación de reputación de URL para aumentar la confianza. |
| Enviar como adjunto (T1192) en lugar de en el cuerpo | Low | Regla no afectada (aún coincide el sujeto) | Ampliar regla para inspeccionar metadatos adjuntos (nombres de archivo, tipos MIME). |
Recomendaciones
- Ampliar Evaluación del Remitente: En lugar de un único dominio codificado, marcar cualquier correo que falle la alineación SPF/DKIM para la marca “dhl.com” y contenga palabras clave relacionadas con DHL.
- Coincidencia Difusa del Asunto: Reemplazar coincidencia exacta de cadena con una expresión regular que capture variaciones, diferencias de caso y obfuscaciones comunes.
- Enriquecer con Reputación de URL: Analizar el cuerpo del mensaje en busca de URL; marcar si algún enlace resuelve a un anfitrión conocido como malicioso o usa acortadores de URL.
- Agregar Heurísticas de Adjuntos: Cuando la regla etiqueta
attack.t1192, incorporar verificaciones para archivos con doble extensión o scripts comúnmente usados en phishing relacionado con DHL.
Implementar estos pasos de endurecimiento elevará la puntuación de resistencia hacia 4–5, reduciendo el riesgo de evasión simple mientras se mantiene una baja tasa de falsos positivos.