Detecção de Campanha de Correio de Voz Falso: Nova Antiga Campanha de Phishing Ataca os EUA
Índice:
Uma nova campanha de phishing está em ascensão, impactando uma ampla gama de indústrias e organizações nos EUA, incluindo infraestruturas críticas, como segurança, saúde e farmacêuticas, o setor militar e também a cadeia de suprimentos de manufatura. O golpe começou a se espalhar pelos EUA em maio de 2022 e ainda está em andamento. Os alvos recebem um e-mail de notificação de phishing informando que há uma nova mensagem de voz em anexo, na verdade ocultando um anexo HTML malicioso. Quando a vítima em potencial clica duas vezes nele, é redirecionada para um site de phishing de credenciais do Office365 e Outlook.
Detectando Novo Golpe de Phishing
Para proteger a infraestrutura da sua empresa e prevenir possíveis infecções, você pode baixar uma regra Sigma lançada por um dos principais desenvolvedores do Programa Threat Bounty Osman Demir:
Quer participar de iniciativas de caça a ameaças e compartilhar seu conteúdo de detecção? Junte-se ao nosso Programa Threat Bounty para um futuro mais seguro! No mês passado, seus membros contribuíram com 184 detecções exclusivas para a plataforma Detection as Code da SOC Prime. Não perca a chance de se tornar um dos colaboradores e ganhar recompensas financeiras recorrentes.
A regra está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Acesso Inicial com a técnica de Phishing (T1566; T1566.002). Essa detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro, e AWS OpenSearch.
O número crescente e a severidade dos incidentes de phishing estão criando uma superfície de ataque ampliada, constantemente aumentando o número de usuários afetados. Para se manter atualizado com o conteúdo de detecção sobre esta e outras ameaças, inscreva-se na Plataforma SOC Prime. O botão Detect & Hunt levará você a uma vasta biblioteca de regras Sigma e YARA traduzidas para mais de 25 soluções SIEM, EDR e XDR. Ainda não tem uma conta? Confira o motor de busca da SOC Prime para descobrir instantaneamente o contexto completo da ameaça cibernética, referências MITRE ATT&CK e regras Sigma clicando no botão Explore Threat Context .
Detect & Hunt Explore Threat Context
Descrição do Golpe de Phishing com Tema de Mensagem de Voz
“O novo é o velho bem esquecido” – o lema do golpe de phishing com tema de mensagem de voz detalhado neste artigo. A campanha de phishing que entrou em ação no mês passado é construída sobre uma muito semelhante, ativa no meio do verão de 2020, relatada por pesquisadores de segurança da ZScaler . Este ano, essa empresa de segurança na nuvem se tornou um dos alvos, então após o ataque, eles lançaram uma análise completa sobre a ameaça.
De acordo com os dados da pesquisa, a campanha tem como alvo usuários nos EUA afiliados a grandes empresas, visando roubar suas credenciais do Office 365. Os hackers por trás da campanha usam serviços de e-mail no Japão para direcionar suas comunicações e falsificar o endereço do remetente, fazendo com que os e-mails pareçam vir de dentro da empresa alvo, numa tentativa de torná-los mais confiáveis. Essas notificações de phishing contêm uma falsa mensagem de voz em anexo. Uma vez que o alvo abre a falsa mensagem de voz, que na verdade é um anexo HTML malicioso contendo um JavaScript codificado, ele é levado a um site de phishing. O usuário alvo é primeiro redirecionado para uma verificação CAPTCHA, projetada para evadir algoritmos automáticos de análise de URL e fortalecer uma fachada geral de confiabilidade. Ao passar com sucesso pela verificação CAPTCHA, a vítima se encontra em uma página que imita um login legítimo da Microsoft. Nesta fase, tudo o que os adversários precisam é que a vítima insira corretamente suas credenciais – e, voilà! As credenciais do alvo são colhidas com sucesso.
Pronto para explorar a plataforma da SOC Prime e ver o Detection as Code em ação? Inscreva-se gratuitamente para acessar mais de 185.000 consultas de caça, parsers, dashboards prontos para SOC, regras Sigma, YARA, Snort curadas e Livros de Respostas a Incidentes adaptados para 25 tecnologias líderes de mercado em SIEM, EDR e XDR.
