Google AMP sfruttato in attacchi di phishing che prendono di mira utenti aziendali
Indice:
Phishing rimane una delle tecniche di attacco più diffuse come risposta all’aumento continuo delle campagne di phishing in tutto il mondo, che genera una crescente domanda di contenuti di rilevamento contro le minacce correlate. I difensori informatici hanno osservato le ultime campagne malevole che sfruttano il vettore di attacco phishing, in cui gli hacker sfruttano le Google Accelerated Mobile Pages (AMP) e applicano una nuova tattica avversaria per eludere il rilevamento.
Individuare Attacchi Phishing che Abusano di Google AMP
Per semplificare la ricerca delle minacce e consentire ai difensori di identificare gli attacchi che sfruttano nuove tattiche di phishing, la piattaforma SOC Prime per la difesa informatica collettiva aggrega una serie di contenuti di rilevamento pertinenti, mentre consente agli utenti di disporre di strumenti innovativi per migliorare la copertura, la visibilità e la capacità di ingegneria del rilevamento delle minacce.
Possibile abuso di Google AMP per Phishing (tramite proxy)
La regola Sigma dedicata sopra è destinata a rilevare possibili attacchi di phishing che abusano di Google AMP. Il rilevamento è compatibile con 17 soluzioni SIEM, EDR, XDR e Data Lake che affrontano la tattica Initial Access, con il sotto-tecnica Spearphishing Link (T1566.002).
Per superare gli attaccanti e tenere il passo con l’ondata di minacce phishing, SOC Prime offre una raccolta di algoritmi di rilevamento curati che aiutano le organizzazioni a ottimizzare il rischio della loro postura di sicurezza informatica. Premendo il pulsante Esplora Rilevamenti qui sotto, gli appassionati di sicurezza possono accedere a un’ampia gamma di rilevamenti mirati a identificare attività malevoli legate al phishing. Per un’indagine sulle minacce semplificata, i team possono anche accedere ai metadati pertinenti, comprese le riferimenti ATT&CK e CTI.
Analisi degli Attacchi Phishing che Abusano di Google AMP
Le nuove campagne di phishing stanno causando scalpore nell’arena delle minacce informatiche. Gli attaccanti sfruttano una nuova tattica di phishing abusando di un popolare framework HTML chiamato Google AMP e prendendo di mira utenti aziendali. In queste campagne avversarie, gli hacker sfruttano gli URL di Google AMP per l’evasione del rilevamento e sfruttano una vasta gamma di altri TTP degli aggressori per bypassare la protezione della posta elettronica, tra cui lo sfruttamento di domini fidati, il reindirizzamento delle email, l’abuso di email di phishing basate su immagini e altro ancora.
La ricerca di Cofense ha scoperto che gli attacchi di phishing che sfruttano gli URL di Google AMP sono emersi nel panorama delle minacce informatiche a maggio 2023. Nelle ultime campagne di phishing, gli avversari sfruttano i siti web ospitati su Google.com o Google.co.uk, considerati domini fidati che permettono agli attaccanti di adescare più utenti e realizzare le loro intenzioni malevole. Gli attori delle minacce mirano principalmente alle loro operazioni offensive verso i dipendenti aziendali, cercando di rubare le loro credenziali di accesso e riuscendo a eludere i gateway di posta elettronica sicura.
Affidati a SOC Prime per essere completamente equipaggiato con contenuti di rilevamento contro i TTP utilizzati negli attacchi informatici in corso, insieme a strumenti innovativi per rafforzare una difesa attiva informata sulla minaccia. Registrati alla piattaforma SOC Prime per potenziare le tue capacità di difesa informatica massimizzando valore degli investimenti in sicurezza e liberando tempo prezioso per i team SecOps.
