Iscas temáticas do Zoom continuam a ser ativamente usadas por cibercriminosos, ocupando um lugar de destaque entre os dez tópicos mais utilizados em campanhas de phishing. Desde o início do confinamento, à medida que a popularidade do Zoom crescia, o número de ataques aumentou, e mesmo depois dos pesquisadores descobrirem sérios problemas de segurança com o serviço, muitas organizações não se recusaram a usá-lo.
Sobre este assunto, publicamos anteriormente um guia prático para reforçar a segurança do serviço Zoom, e já existem mais de uma dúzia de regras disponíveis no Threat Detection Marketplace para detectar domínios maliciosos, instaladores falsos e mais. A lista de regras pode ser encontrada aqui.
Hoje, na nossa coluna de Conteúdo de Caça a Ameaças, a regra da comunidade submetida por Osman Demir que detecta campanhas de phishing usando convites do Zoom: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1
Pesquisadores da Cofense observaram uma nova campanha de phishing que atua como um convite para videoconferência a fim de obter credenciais Microsoft dos usuários. A campanha é direcionada principalmente a trabalhadores remotos que não estão familiarizados com teleconferência e com os e-mails que acompanham o uso do serviço. Alguns usuários podem não ter o melhor escritório em casa montado e trabalhar em monitores que mal lhes proporcionam uma visão adequada, dificultando uma análise detalhada desses e-mails. O próprio e-mail lembra uma comunicação legítima – o logotipo azul do Zoom, uma menção vaga de uma videoconferência para os usuários participarem e um link para que revisem o referido convite; é discreto o suficiente e na maioria das vezes livre de erros gramaticais.
A regra tem traduções para as seguintes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Spearphishing Link (T1192)
