Conteúdo de Caça a Ameaças: Campanha de Phishing Usando Convites do Zoom

[post-views]
Junho 16, 2020 · 2 min de leitura
Conteúdo de Caça a Ameaças: Campanha de Phishing Usando Convites do Zoom

Iscas temáticas do Zoom continuam a ser ativamente usadas por cibercriminosos, ocupando um lugar de destaque entre os dez tópicos mais utilizados em campanhas de phishing. Desde o início do confinamento, à medida que a popularidade do Zoom crescia, o número de ataques aumentou, e mesmo depois dos pesquisadores descobrirem sérios problemas de segurança com o serviço, muitas organizações não se recusaram a usá-lo. 

Sobre este assunto, publicamos anteriormente um guia prático para reforçar a segurança do serviço Zoom, e já existem mais de uma dúzia de regras disponíveis no Threat Detection Marketplace para detectar domínios maliciosos, instaladores falsos e mais. A lista de regras pode ser encontrada aqui.

Hoje, na nossa coluna de Conteúdo de Caça a Ameaças, a regra da comunidade submetida por Osman Demir que detecta campanhas de phishing usando convites do Zoom: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Pesquisadores da Cofense observaram uma nova campanha de phishing que atua como um convite para videoconferência a fim de obter credenciais Microsoft dos usuários. A campanha é direcionada principalmente a trabalhadores remotos que não estão familiarizados com teleconferência e com os e-mails que acompanham o uso do serviço. Alguns usuários podem não ter o melhor escritório em casa montado e trabalhar em monitores que mal lhes proporcionam uma visão adequada, dificultando uma análise detalhada desses e-mails. O próprio e-mail lembra uma comunicação legítima – o logotipo azul do Zoom, uma menção vaga de uma videoconferência para os usuários participarem e um link para que revisem o referido convite; é discreto o suficiente e na maioria das vezes livre de erros gramaticais. 

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Spearphishing Link (T1192)

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas