Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de phishing disfarçada de DHL foi projetada para roubar credenciais de usuários. A cadeia de ataque utiliza uma página falsa de senha única e um portal de login com a marca, depois exfiltra os dados capturados por meio do EmailJS. Após o roubo das credenciais, as vítimas são redirecionadas para o site legítimo da DHL para reduzir a suspeita. A operação parece ter como alvo consumidores em todo o mundo, enquanto confia em uma infraestrutura relativamente leve.
Investigação
A Forcepoint X-Labs examinou o email de phishing, os links maliciosos e o JavaScript responsável por gerar uma senha única no lado do cliente. A análise mostrou que o kit de phishing recolheu detalhes de dispositivo e geolocalização antes de transmitir as informações coletadas para uma caixa de correio controlada pelo atacante através do EmailJS. Os pesquisadores conseguiram reproduzir todo o fluxo de ataque em um ambiente de sandbox.
Mitigação
As organizações devem bloquear domínios suspeitos de remetentes e observar falhas de alinhamento DKIM que possam indicar spoofing. As equipes de segurança também devem filtrar ou bloquear URLs que resolvam para os domínios maliciosos identificados. Monitorar atividades inesperadas do EmailJS com cargas úteis incomuns pode ajudar a identificar tentativas de roubo de credenciais, enquanto a aplicação de MFA em contas relacionadas à DHL adiciona outra camada de proteção.
Resposta
Os defensores devem notificar os usuários visados sobre a campanha de phishing e exigir redefinições de senha para quaisquer contas comprometidas. O email malicioso deve ser colocado em quarentena, e os domínios relacionados devem ser bloqueados nas camadas de gateway de email e web. As regras de detecção também devem ser atualizadas para identificar os padrões de URL observados e o método de exfiltração baseado no EmailJS.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[“<b>Ação</b> – <b>T1566 Phishing</b><br/><b>Descrição</b>: Enviar e-mails maliciosos que parecem legítimos para atrair vítimas.<br/><b>Subtécnica</b>: Falsificação de e-mail (T1672)”] class phishing_email action fake_otp_page[“<b>Ação</b> – <b>T1656 Impersonação</b> e <b>T1001.003 Impersonação de Protocolo</b><br/><b>Descrição</b>: Hospedar uma página falsa de senha de uso único que imita o serviço alvo.”] class fake_otp_page action gather_email[“<b>Técnica</b> – <b>T1589 Coletar Informações de Identidade da Vítima</b><br/><b>Descrição</b>: Capturar o endereço de e-mail da vítima na página falsa.”] class gather_email technique browser_discovery[“<b>Técnica</b> – <b>T1217 Descoberta de Informações do Navegador</b> e <b>T1596.005 Pesquisa em Bases de Dados Técnicas Abertas</b><br/><b>Descrição</b>: Enumerar detalhes do navegador, dispositivo e sistema operacional do ambiente da vítima.”] class browser_discovery technique credential_harvest[“<b>Ação</b> – <b>T1056.003 Captura em Portal Web</b><br/><b>Descrição</b>: Redirecionar a vítima para um portal web de coleta de credenciais.”] class credential_harvest action exfil_emailjs[“<b>Técnica</b> – <b>T1114 Coleta de E-mail</b> e <b>T1102.002 Comunicação Bidirecional via Serviço Web</b><br/><b>Descrição</b>: Usar EmailJS para exfiltrar credenciais e dados de sessão.”] class exfil_emailjs technique legit_redirect[“<b>Ação</b> – Redirecionar a vítima para o site legítimo da DHL após a exfiltração de dados.”] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect
Fluxo de Ataque
## Execução de Simulação
Pré-requisito: O Verificação Pré-voo de Telemetria & Base de Referência deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
O adversário, visando colher credenciais da DHL, imita o
cupelva.comdomínio (um conhecido semelhante) e elabora um email com a linha de assunto exata usada em campanhas recentes. Ao enviar este email por meio de um servidor SMTP externo comprometido, a mensagem chega às caixas de entrada do Exchange, produzindo logs de transporte que correspondem aos critérios da regra. -
Script de Teste de Regressão:
# Email de phishing simulado - deve acionar a regra de detecção $smtpServer = "smtp.malicious-host.com" # servidor externo comprometido $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "DHL EXPRESS WAYBILL CONFIRMATION REQUIRED" Body = @" Dear Customer,
Um conhecimento de viagem para sua remessa recente requer confirmação. Por favor, clique no link abaixo para verificar seus detalhes:
https://malicious.example.com/verify
Atenciosamente, DHL Express “@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **Comandos de Limpeza:**
powershell
# Remover o email de teste da caixa de entrada da vítima (PowerShell do Exchange)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"DHL EXPRESS WAYBILL CONFIRMATION REQUIRED"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false## Avaliação de Evasão & Recomendações de Fortalecimento
| Técnica de Evasão Potencial | Probabilidade | Impacto na Regra | Mitigação |
|---|---|---|---|
| Alterar linha de assunto (por ex., adicionar espaço em branco, mudar capitalização) | Alta | A regra perde o evento | Use regex sem distinção de maiúsculas/minúsculas e coincidência de palavras-chave difusas (subject|contains|regex: "DHLs+EXPRESS.*WAYBILL.*REQUIRED"). |
Use um domínio imitado diferente (por ex., dhl-express.co) |
Alta | A regra perde o evento | Incorporar detecção de falha DKIM/SPF e procurar por palavras-chave conhecidas relacionadas à marca independentemente do domínio do remetente. |
| Incorporar link malicioso, mas manter assunto inalterado | Médio | Regra ainda dispara (bom) | Adicionar verificação de reputação de URL para aumentar a confiança. |
| Enviar como anexo (T1192) ao invés de no corpo | Low | Regra inalterada (assunto ainda corresponde) | Estender a regra para inspecionar metadados de anexos (nomes de arquivos, tipos MIME). |
Recomendações
- Ampliar Avaliação de Remetente: Em vez de um único domínio codificado rigidamente, sinalizar qualquer email que falhe no alinhamento SPF/DKIM para a marca “dhl.com” e contenha palavras-chave relacionadas à DHL.
- Coincidência Fuzzy de Assunto: Substituir a correspondência de string exata por um regex que capture variações, diferenças de maiúsculas/minúsculas e obfuscações comuns.
- Enriquecer com Reputação de URL: Analisar o corpo da mensagem para URLs; sinalizar se algum link resolver para um host malicioso conhecido ou usar encurtadores de URL.
- Adicionar Heurísticas de Anexo: Quando a regra marca
attack.t1192, incorporar verificações para arquivos de dupla extensão ou scripts comumente usados em phishing relacionado à DHL.
Implementar essas etapas de fortalecimento aumentará a pontuação de resiliência para 4–5, reduzindo o risco de evasão simples enquanto mantém uma baixa taxa de falsos positivos.