Contenuto per la Caccia alle Minacce: Campagna di Phishing con Inviti Zoom

Le esche a tema Zoom continuano ad essere utilizzate attivamente dai criminali informatici, occupando un posto d’onore tra i primi dieci argomenti più utilizzati nelle campagne di phishing. Sin dall’inizio del lockdown, con la crescita della popolarità di Zoom, il numero di attacchi è aumentato e, anche dopo che i ricercatori hanno scoperto seri problemi di sicurezza con il servizio, molte organizzazioni non hanno rinunciato a utilizzarlo. 

Su questo argomento, abbiamo precedentemente pubblicato una guida pratica per rafforzare il servizio Zoom, e sono già disponibili oltre una dozzina di regole nel Threat Detection Marketplace per rilevare domini malevoli, installatori falsi e altro ancora. L’elenco delle regole può essere trovato qui.

Oggi, nella nostra rubrica Contenuti di Threat Hunting, la regola della comunità presentata da Osman Demir che rileva campagne di phishing utilizzando inviti Zoom: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

I ricercatori di Cofense hanno osservato una nuova campagna di phishing che agisce come un invito a una videoconferenza per ottenere le credenziali Microsoft dagli utenti. La campagna è rivolta principalmente ai lavoratori remoti che non hanno familiarità con le teleconferenze e le email che accompagnano l’uso del servizio. Alcuni utenti potrebbero non avere il miglior allestimento per l’ufficio a casa e lavorare su monitor che a malapena consentono loro una visione adeguata, rendendo difficile esaminare attentamente queste email. L’email stessa ricorda una comunicazione legittima: il logo blu di Zoom, un vago accenno a una videoconferenza per cui gli utenti devono partecipare e un link per esaminare l’invito; è abbastanza discreto e perlopiù privo di errori grammaticali. 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche: Spearphishing Link (T1192)