Contenu de Menace Hunting : Campagne de Phishing Utilisant des Invitations Zoom

[post-views]
juin 16, 2020 · 2 min de lecture
Contenu de Menace Hunting : Campagne de Phishing Utilisant des Invitations Zoom

Les appâts thématiques sur Zoom continuent d’être utilisés activement par les cybercriminels, occupant une place de choix dans le top dix des sujets les plus utilisés dans les campagnes de phishing. Dès le début du confinement, avec la popularité croissante de Zoom, le nombre d’attaques a augmenté, et même après que les chercheurs aient découvert de graves problèmes de sécurité avec le service, de nombreuses organisations n’ont pas refusé de l’utiliser. 

Sur ce sujet, nous avons précédemment publié un guide pratique pour renforcer la sécurité du service Zoom, et il y a déjà plus d’une douzaine de règles disponibles dans le Threat Detection Marketplace pour détecter les mauvais domaines, les faux installateurs, et plus encore. La liste des règles peut être trouvée ici.

Aujourd’hui, dans notre colonne Contenu de Chasse aux Menaces, la règle communautaire soumise par Osman Demir qui détecte les campagnes de phishing utilisant des invitations Zoom : https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Les chercheurs de Cofense ont observé une nouvelle campagne de phishing qui agit comme une invitation à une vidéoconférence pour obtenir les identifiants Microsoft des utilisateurs. La campagne vise principalement les travailleurs à distance qui ne sont pas familiers avec la téléconférence et les courriels qui accompagnent l’utilisation du service. Certains utilisateurs peuvent ne pas avoir le meilleur aménagement de bureau à domicile et travailler sur des écrans qui leur offrent à peine une vue correcte, rendant difficile l’examen approfondi de ces courriels. Le courriel lui-même rappelle une communication légitime – le logo bleu de Zoom, une vague mention d’une vidéoconférence pour que les utilisateurs se joignent, et un lien pour qu’ils examinent ladite invitation ; il est suffisamment discret et exempt de fautes grammaticales. 

La règle a des traductions pour les plateformes suivantes :

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Accès Initial

Techniques : Lien de Spearphishing (T1192)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités