Google AMP explotado en ataques de phishing dirigidos a usuarios empresariales
Tabla de contenidos:
Phishing sigue siendo una de las técnicas de ataque más prevalentes como respuesta a un aumento continuo en las campañas de phishing a nivel mundial, lo que crea una creciente demanda de contenido de detección contra amenazas relacionadas. Los defensores cibernéticos han observado las últimas campañas maliciosas aprovechando el vector de ataque de phishing, en el que los hackers explotan las Páginas Móviles Aceleradas de Google (AMP) y aplican una nueva táctica adversaria para evadir la detección.
Detectar Ataques de Phishing Abusando de Google AMP
Para agilizar la investigación de amenazas y permitir a los defensores identificar ataques que utilizan nuevas tácticas de phishing, la Plataforma SOC Prime para la defensa cibernética colectiva agrega un conjunto de contenido de detección relevante mientras empodera a los usuarios con herramientas innovadoras para mejorar la cobertura de detección de amenazas, visibilidad y capacidad de ingenierÃa.
Posible Abuso de Google AMP para Phishing (a través de proxy)
Una regla Sigma dedicada arriba está destinada a detectar posibles ataques de phishing abusando de Google AMP. La detección es compatible con 17 soluciones SIEM, EDR, XDR y Data Lake que abordan la táctica de Acceso Inicial, con Enlace de Spearphishing (T1566.002) como sub-técnica correspondiente.
Para adelantarse a los atacantes y mantenerse al dÃa con la avalancha de amenazas de phishing, SOC Prime proporciona una colección de algoritmos de detección curados que ayudan a las organizaciones a optimizar su postura de ciberseguridad frente al riesgo. Al pulsar el botón Explorar Detecciones a continuación, los entusiastas de la seguridad pueden acceder a una amplia gama de detecciones destinadas a identificar actividad maliciosa asociada con el phishing. Para una investigación de amenazas simplificada, los equipos también pueden profundizar en metadatos relevantes, incluyendo referencias ATT&CK y CTI.
Análisis de Ataques de Phishing Abusando de Google AMP
Las nuevas campañas de phishing están causando revuelo en el ámbito de amenazas cibernéticas. Los atacantes aprovechan una nueva táctica de phishing abusando de un popular marco de HTML llamado Google AMP y dirigiéndose a usuarios empresariales. En estas campañas adversarias, los hackers explotan URLs de Google AMP para evadir la detección y utilizan una amplia gama de otras TTPs de ataque para eludir la protección de seguridad del correo electrónico, incluyendo la explotación de dominios de confianza, la redirección de correos electrónicos, el abuso de correos electrónicos de phishing basados en imágenes y más.
La investigación por Cofense descubrió que los ataques de phishing que explotan URLs de Google AMP emergieron en el panorama de amenazas cibernéticas en mayo de 2023. En las últimas campañas de phishing, los adversarios se aprovechan de los sitios web alojados en Google.com o Google.co.uk, que son considerados dominios de confianza, permitiendo a los atacantes atraer a más usuarios y cumplir con sus intenciones maliciosas. Los actores de amenaza están principalmente dirigiendo sus operaciones ofensivas a empleados de empresas que intentan robar sus credenciales de inicio de sesión y logran intentos exitosos de evadir las pasarelas de correo electrónico seguras.
ConfÃa en SOC Prime para estar completamente equipado con contenido de detección contra TTP utilizado en los ataques cibernéticos en curso junto con herramientas innovadoras para empoderar una defensa activa informada por amenazas. RegÃstrese en la Plataforma SOC Prime para potenciar sus capacidades de defensa cibernética mientras maximiza el valor de las inversiones en seguridad y libera un tiempo valioso para los equipos de SecOps.
