Nuovo Phishing Zoom Sfrutta Constant Contact per Aggirare i SEGs
Indice:
L’anno difficile del 2020 ha visto molte aziende aumentare la loro dipendenza da internet, passando a una forza lavoro in modalità lavoro da casa. Tale tendenza ha comportato un’impennata esponenziale nell’uso delle app di videoconferenza. I criminali informatici non si sono lasciati sfuggire l’opportunità di sfruttare le loro prospettive malevole. A partire dalla primavera del 2020, hanno registrato molti domini falsi per distribuire annunci e eseguibili dannosi. Inoltre, il “boom” delle videoconferenze ha aperto ampie opportunità per il cyber-spionaggio. Questa tendenza continua a guadagnare slancio quest’anno. A gennaio 2021, i ricercatori di sicurezza hanno individuato un’altra campagna che trae profitto dal phishing su Zoom.
Nuovo Phishing Zoom
Il nuovo inganno tenta di impersonare il supporto di Zoom per rubare le credenziali. In particolare, gli utenti ricevono una falsa email che afferma che un server Zoom è stato aggiornato, quindi tutti i clienti devono verificare i loro account per mantenere la capacità di invitare o partecipare alle chiamate. Il messaggio invita gli utenti a seguire il link, che li reindirizza a una falsa pagina di phishing in grado di raccogliere le credenziali. Tutte le email mostrano “Zoom – no-reply@zoom(.)us” nel campo “Da”, ingannando le vittime facendole credere che l’email provenga effettivamente da Zoom.
Va notato che le email di phishing sono state inviate tramite il servizio di email marketing Constant Contact. Gli hacker hanno compromesso un singolo account utente per diffondere gli attacchi, presumibilmente, nel tentativo di bypassare i diversi Secure Email Gateways (SEG). I ricercatori confermano che questo metodo è stato efficace poiché le false email sono state rilevate almeno in cinque ambienti SEG.
Rilevamento dell’Attacco Zoom
Il team di SOC Prime sta tenendo sotto controllo gli attacchi Zoom per fornire rilevamenti a velocità fulminea e garantire una difesa proattiva contro tali minacce. In precedenza, abbiamo pubblicato una guida pratica per gli utenti su come rafforzare il servizio Zoom. Inoltre, puoi scaricare quasi due dozzine di regole dal Threat Detection Marketplace per migliorare la tua difesa da domini Zoom dannosi, installatori falsi e inviti fasulli.
Una regola comunitaria dedicata per l’ultima campagna di phishing è già disponibile nel Threat Detection Marketplace grazie a Osman Demir, uno dei più prolifici sviluppatori di Threat Bounty:
https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Spearphishing Link (T1566)
Cerchi i migliori contenuti SOC per migliorare le tue capacità nel combattere le minacce informatiche in continua evoluzione? Ottieni un abbonamento gratuito al Threat Detection Marketplace e riduci il tempo medio di rilevamento degli attacchi informatici con la nostra libreria di contenuti SOC di oltre 90.000 elementi. Vuoi creare le tue regole Sigma e migliorare le iniziative di threat hunting? Unisciti al nostro programma Threat Bounty per condividere le tue intuizioni con la comunità di SOC Prime!
