Detección de la Campaña de Falsos Correos de Voz: Un Nuevo-Antiguo Ataque de Phishing Golpea EE.UU.
Tabla de contenidos:
Una nueva campaña de phishing está en aumento, afectando a una amplia gama de industrias y organizaciones en los EE. UU., incluidas infraestructuras críticas como seguridad, salud y farmacéuticas, el ejército, y también la cadena de suministro de manufactura. La estafa comenzó a extenderse por los EE. UU. en mayo de 2022 y aún continúa. Los objetivos reciben un correo electrónico de notificación de phishing que indica que hay un nuevo mensaje de voz adjunto, que en realidad oculta un archivo HTML malicioso adjunto. Cuando la víctima potencial hace doble clic en él, se les redirige a un sitio de phishing de credenciales de Office365 y Outlook.
Detectando Nueva Estafa de Phishing
Para proteger la infraestructura de su empresa y prevenir posibles infecciones, puede descargar una regla Sigma publicada por uno de los principales desarrolladores del Programa de Recompensas por Amenazas Osman Demir:
¿Quiere participar en iniciativas de caza de amenazas y compartir su contenido de detección? Únase a nuestro Programa de Recompensas por Amenazas ¡para un futuro más seguro! El mes pasado, sus miembros contribuyeron con 184 detecciones únicas a la plataforma Detection as Code de SOC Prime. No pierda la oportunidad de convertirse en uno de los contribuyentes y ganar recompensas monetarias recurrentes.
La regla está alineada con el marco MITRE ATT&CK® v.10 abordando la táctica de Acceso Inicial con la técnica de Phishing (T1566; T1566.002). Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro, y AWS OpenSearch.
El número creciente y la severidad de los incidentes de phishing están creando una superficie de ataque expandida, aumentando constantemente el número de usuarios afectados. Para mantenerse actualizado con contenido de detección sobre esta y otras amenazas, regístrese en la Plataforma SOC Prime. El botón Detectar y Cazar lo llevará a una vasta biblioteca de reglas Sigma y YARA traducidas a más de 25 soluciones SIEM, EDR y XDR. ¿Aún no tiene una cuenta? Explore el motor de búsqueda de SOC Prime para descubrir instantáneamente el contexto completo de amenazas cibernéticas, referencias de MITRE ATT&CK y reglas Sigma haciendo clic en el botón Explorar Contexto de Amenazas .
botón Detectar y Cazar Explorar Contexto de Amenazas
Descripción de la Estafa de Phishing Temática de Mensajes de Voz
«Lo nuevo es lo antiguo bien olvidado» – el lema de la estafa de phishing temática de mensajes de voz que detalla este artículo. La campaña de phishing que se activó el mes pasado se basa en una muy similar, activa a mediados del verano de 2020, según informan los investigadores de seguridad de ZScaler . Este año, esta empresa de seguridad en la nube se ha convertido en uno de los objetivos, por lo que tras el ataque, han publicado un detallado informe sobre la amenaza.
Según los datos de investigación, la campaña apunta a usuarios con sede en EE. UU. afiliados a empresas bastante grandes, con el objetivo de robar sus credenciales de Office 365. Los piratas detrás de la campaña utilizan servicios de correo electrónico en Japón para encaminar sus comunicaciones y suplantar la dirección del remitente, haciendo que los correos electrónicos parezcan provenir del interior de la empresa objetivo en un intento de hacerlos más confiables. Estas notificaciones de phishing contienen un mensaje de voz falso adjunto. Una vez que el objetivo abre un falso mensaje de voz, que en realidad es un archivo HTML malicioso que contiene un JavaScript codificado, lleva a la víctima a un sitio de phishing. El usuario objetivo es primero redirigido a un control CAPTCHA, diseñado para evadir algoritmos automáticos de análisis de URL y fortalecer una fachada de confianza general. Al aprobar con éxito el control CAPTCHA, la víctima se encuentra en una página que imita un inicio de sesión legítimo de Microsoft. En esta etapa, todo lo que los adversarios necesitan es que la víctima ingrese sus credenciales correctamente – y, ¡voilà! Las credenciales de la víctima son capturadas con éxito.
¿Listo para explorar la plataforma de SOC Prime y ver la Detección como Código en acción? Regístrese gratis para acceder a más de 185,000 consultas de caza únicas, analizadores, paneles listos para SOC, reglas Sigma, YARA, Snort curadas y Playbooks de Respuesta a Incidentes personalizados para 25 tecnologías líderes en el mercado SIEM, EDR y XDR.
