Détection de Campagne de Faux Message Vocal : Une Nouvelle-Ancienne Attaque de Phishing Frappe les États-Unis
Table des matières :
Une nouvelle campagne de phishing est en augmentation, impactant un large éventail d’industries et d’organisations aux États-Unis, y compris des infrastructures critiques telles que la sécurité, la santé et l’industrie pharmaceutique, l’armée, ainsi que la chaîne d’approvisionnement manufacturière. L’escroquerie a commencé à balayer les États-Unis en mai 2022 et est toujours en cours. Les cibles reçoivent un e-mail de notification de phishing indiquant qu’il y a un nouveau message vocal attaché, en fait camouflant une pièce jointe HTML malveillante. Lorsque la future victime double-clique dessus, elle est redirigée vers un site de phishing de credentials Office365 et Outlook.
Détection d’une nouvelle escroquerie de phishing
Pour protéger l’infrastructure de votre entreprise et prévenir d’éventuelles infections, vous pouvez télécharger une règle Sigma publiée par l’un des principaux développeurs du Programme de Bounty sur les Menaces Osman Demir:
Vous voulez participer à des initiatives de chasse aux menaces et partager votre contenu de détection ? Rejoignez notre Programme de Bounty sur les Menaces pour un avenir plus sûr ! Le mois dernier, ses membres ont contribué 184 détections uniques à la plateforme de Détection en tant que Code de SOC Prime. Ne manquez pas votre chance de devenir l’un des contributeurs et de gagner des récompenses monétaires récurrentes.
La règle est alignée avec le cadre MITRE ATT&CK® v.10. abordant la tactique d’Accès Initial avec la technique de Phishing (T1566; T1566.002). Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro et AWS OpenSearch.
Le nombre croissant et la gravité des incidents de phishing créent une surface d’attaque élargie, augmentant constamment le nombre d’utilisateurs affectés. Pour rester à jour avec le contenu de détection sur cette menace et d’autres, inscrivez-vous à la plateforme SOC Prime. Le bouton Detect & Hunt vous mènera à une vaste bibliothèque de règles Sigma et YARA traduites pour plus de 25 solutions SIEM, EDR et XDR. Vous n’avez pas encore de compte ? Consultez le moteur de recherche de SOC Prime pour découvrir instantanément le contexte complet des menaces cybernétiques, les références MITRE ATT&CK et les règles Sigma en appuyant sur le bouton Explorer le Contexte des Menaces .
bouton Detect & Hunt Explorer le Contexte des Menaces
Description de l’escroquerie de phishing à thème de message vocal
« Le nouveau, c’est l’ancien bien oublié » – la devise de l’escroquerie de phishing à thème de message vocal que cet article détaille. La campagne de phishing qui s’est mise en action le mois dernier est construite sur une très similaire, active en milieu d’été 2020, selon les chercheurs en sécurité de ZScaler rapportent. Cette année, cette entreprise de sécurité cloud est devenue l’une des cibles, donc à la suite de l’attaque, ils ont publié un rapport approfondi sur la menace.
Selon les données de recherche, la campagne cible des utilisateurs basés aux États-Unis affiliés à de grandes entreprises, visant à voler leurs credentials Office 365. Les pirates derrière la campagne utilisent des services de messagerie au Japon pour acheminer leurs communications et usurper l’adresse de l’expéditeur, faisant apparaître les e-mails comme venant de l’intérieur de l’entreprise ciblée dans le but de les rendre plus dignes de confiance. Ces notifications de phishing contiennent un faux message vocal attaché. Une fois que la cible ouvre un faux message vocal, qui est en réalité une pièce jointe HTML malveillante contenant un JavaScript encodé, elle conduit la victime à un site de phishing. L’utilisateur ciblé est d’abord redirigé vers un contrôle CAPTCHA, conçu pour échapper aux algorithmes d’analyse automatique des URL et renforcer une façade de confiance globale. Après avoir réussi le contrôle CAPTCHA, la victime se retrouve sur une page imitant une connexion Microsoft légitime. À ce stade, tout ce que les adversaires ont besoin, c’est que la victime insère correctement ses credentials — et, voilà ! Les credentials de la cible sont collectés avec succès.
Prêt à explorer la plateforme SOC Prime et voir la Détection en tant que Code en action ? Inscrivez-vous gratuitement pour accéder à plus de 185 000 requêtes de chasse, parseurs, tableaux de bord prêts pour le SOC, règles Sigma, YARA, Snort sélectionnées, et guides de réponse aux incidents adaptés à 25 technologies SIEM, EDR et XDR leaders du marché.
