Google AMP Exploradas em Ataques de Phishing Mirando Usuários Empresariais
Índice:
Phishing permanece uma das técnicas de ataque mais prevalentes como resposta a um aumento contínuo nas campanhas de phishing em todo o mundo, o que cria uma demanda crescente por conteúdo de detecção contra ameaças relacionadas. Os defensores cibernéticos têm observado as últimas campanhas maliciosas aproveitando o vetor de ataque de phishing, nas quais hackers exploram o Google Accelerated Mobile Pages (AMP) e aplicam uma nova tática adversária para evitar a detecção.
Detectar Ataques de Phishing Abusando do Google AMP
Para otimizar a pesquisa de ameaças e permitir que os defensores identifiquem ataques que utilizam novas táticas de phishing, a Plataforma SOC Prime para defesa cibernética coletiva agrega um lote de conteúdo de detecção relevante enquanto capacita os usuários com ferramentas inovadoras para melhorar a cobertura de detecção de ameaças, visibilidade e capacidade de engenharia.
Possível Abuso do Google AMP para Phishing (via proxy)
Uma regra Sigma dedicada acima visa detectar possíveis ataques de phishing abusando do Google AMP. A detecção é compatível com 17 soluções SIEM, EDR, XDR e Data Lake, abordando a tática de Acesso Inicial, com Spearphishing Link (T1566.002) como sub-técnica correspondente.
Para superar os atacantes e acompanhar a avalanche de ameaças de phishing, a SOC Prime fornece uma coleção de algoritmos de detecção curados que ajudam as organizações a otimizar o risco de sua postura cibernética. Ao clicar no botão Explorar Detecções abaixo, os entusiastas de segurança podem acessar uma ampla gama de detecções destinadas a detectar atividades maliciosas associadas ao phishing. Para uma investigação de ameaças simplificada, as equipes também podem aprofundar-se em metadados relevantes, incluindo referências ATT&CK e CTI.
Análise de Ataques de Phishing Abusando do Google AMP
Novas campanhas de phishing estão causando agitação no cenário de ameaças cibernéticas. Os atacantes utilizam uma nova tática de phishing abusando de um popular framework HTML chamado Google AMP e direcionando-se a usuários corporativos. Nestas campanhas adversárias, hackers exploram URLs do Google AMP para evasão de detecção e utilizam uma ampla gama de outras TTPs atacantes para contornar a proteção de segurança de email, incluindo a exploração de domínios confiáveis, redirecionamento de email, o abuso de emails de phishing baseados em imagens, entre outros.
A pesquisa da Cofense revelou que ataques de phishing explorando URLs do Google AMP surgiram no cenário de ameaças cibernéticas em maio de 2023. Nas últimas campanhas de phishing, os adversários aproveitam os sites hospedados no Google.com ou Google.co.uk, que são considerados domínios confiáveis permitindo que os atacantes atraiam mais usuários e realizem suas intenções maliciosas. Os atores de ameaças estão, principalmente, direcionando suas operações ofensivas para funcionários de empresas, tentando roubar suas credenciais de login e fazendo tentativas bem-sucedidas de evasão de gateways seguros de email.
Confie na SOC Prime para estar totalmente equipado com conteúdo de detecção contra TTPs usados nos ataques cibernéticos em andamento, juntamente com ferramentas inovadoras para capacitar uma defesa informada sobre ameaças. Registre-se na Plataforma SOC Prime para aumentar suas capacidades de defesa cibernética enquanto maximiza, em última análise, o valor dos investimentos em segurança e libera tempo valioso para as equipes de SecOps.
