Nuevo phishing de Zoom abusa de Constant Contact para eludir SEG
Tabla de contenidos:
El desafiante año 2020 vio a muchas empresas aumentar su dependencia de Internet, cambiando a fuerzas laborales de trabajo desde casa. Tal tendencia resultó en un aumento explosivo en el uso de aplicaciones de videoconferencia. Los ciberdelincuentes no desperdiciaron la oportunidad de aprovechar sus perspectivas maliciosas. A partir de la primavera de 2020, registraron muchos dominios falsos para entregar anuncios maliciosos y ejecutables. Además, el “boom” de las videoconferencias abrió amplias oportunidades para el ciberespionaje. Esta tendencia sigue ganando impulso este año. En enero de 2021, investigadores de seguridad detectaron otra campaña más que se beneficia del phishing de Zoom.
Nuevo Phishing de Zoom
El nuevo señuelo intenta hacerse pasar por el soporte de Zoom para robar credenciales. En particular, los usuarios reciben un correo falso que afirma que un servidor de Zoom ha sido actualizado, por lo que todos los clientes deben verificar sus cuentas para mantener la capacidad de invitar o unirse a llamadas. El mensaje ofrece a los usuarios seguir el enlace, que los redirige a una página de phishing falsa capaz de recopilar credenciales. Todos los correos electrónicos muestran “Zoom – no-reply@zoom(.)us” en el campo “De”, engañando a las víctimas haciéndoles creer que el correo realmente provino de Zoom.
Notablemente, los correos de phishing fueron enviados a través del servicio de marketing por correo electrónico Constant Contact. Los hackers comprometieron una sola cuenta de usuario para difundir los ataques, presumiblemente, en un intento de evadir diferentes Secure Email Gateways (SEGs). Los investigadores confirman que este método tuvo éxito ya que se detectaron correos falsos al menos en cinco entornos SEG.
Detección de Ataques de Zoom
El equipo de SOC Prime está manteniendo una estrecha vigilancia sobre los ataques de Zoom para ofrecer detecciones rápidas como el rayo y asegurar una defensa proactiva contra tales amenazas. Anteriormente, publicamos una guía práctica para usuarios sobre el fortalecimiento del servicio de Zoom. También, puedes descargar casi dos docenas de reglas del Threat Detection Marketplace para mejorar tu defensa contra dominios de Zoom falsos, instaladores falsos e invitaciones falsas.
Una regla comunitaria dedicada para la última campaña de phishing ya está disponible en Threat Detection Marketplace gracias a Osman Demir, uno de los desarrolladores más prolíficos de Threat Bounty:
https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Spearphishing Link (T1566)
¿Buscas el mejor contenido SOC para mejorar tus capacidades en la lucha contra ciberamenazas dinámicamente emergentes? Obtén una suscripción gratuita al Threat Detection Marketplace y reduce el tiempo de detección de ciberataques con nuestra biblioteca de contenido SOC de más de 90,000. ¿Quieres crear tus propias reglas Sigma y mejorar las iniciativas de caza de amenazas? Únete a nuestro programa Threat Bounty ¡para compartir tus conocimientos con la comunidad de SOC Prime!
