Contenido de Caza de Amenazas: Campaña de Phishing Usando Invitaciones de Zoom

Los cebos con temática de Zoom continúan siendo activamente utilizados por los ciberdelincuentes, ocupando un lugar destacado en los diez temas más utilizados en campañas de phishing. Desde el inicio del confinamiento, a medida que la popularidad de Zoom crecía, el número de ataques aumentó, e incluso después de que los investigadores descubrieran serios problemas de seguridad con el servicio, muchas organizaciones no dejaron de usarlo. 

Sobre este tema, anteriormente publicamos una guía práctica para reforzar el servicio de Zoom, y ya hay más de una docena de reglas disponibles en el Threat Detection Marketplace para detectar dominios maliciosos, instaladores falsos, y más. La lista de reglas se puede encontrar aquí.

Hoy, en nuestra columna de Contenido de Caza de Amenazas, la regla comunitaria presentada por Osman Demir que detecta campañas de phishing utilizando invitaciones de Zoom: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Investigadores de Cofense observaron una nueva campaña de phishing que actúa como una invitación a videoconferencia para obtener credenciales de Microsoft de los usuarios. La campaña está dirigida principalmente a trabajadores remotos que no están familiarizados con la teleconferencia y los correos electrónicos que vienen con el uso del servicio. Algunos usuarios pueden no tener la mejor configuración de oficina en casa y trabajar en monitores que apenas les permiten una vista adecuada, lo que dificulta revisar estos correos electrónicos detenidamente. El correo en sí es similar a una comunicación legítima: el logotipo azul de Zoom, una vaga mención de una videoconferencia para que los usuarios se unan, y un enlace para que revisen dicha invitación; es lo suficientemente discreto y casi libre de errores gramaticales. 

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Acceso Inicial

Técnicas: Enlace de Spearphishing (T1192)