La campaña de phishing explota Symantec URL Safety para cubrir sus huellas


El correo electrónico también afirma haber sido escaneado por la seguridad de correo electrónico de Symantec, según el proveedor de seguridad Armorblox.

Los spammers y los estafadores generalmente intentan ofuscar y legitimar su contenido malicioso en un esfuerzo por engañar mejor a las personas. Eso es especialmente cierto con los correos electrónicos de phishing que intentan ocultar la fuente de sus páginas de aterrizaje engañosas y falsificar o hacer referencia a una empresa o marca conocida. Un nuevo ataque de phishing analizado por Armorblox aprovecha Symantec para engañar a los usuarios para que caigan en la estafa. En una publicación de blog publicada el jueves titulada «Robo de credenciales mediante la reescritura de URL de Symantec, «Armorblox explain cómo funciona esta campaña.

Enviado a un empleado que trabaja con bienes raíces, el correo electrónico de phishing contenía un enlace a un PDF que supuestamente incluía detalles de la oferta para un próximo proyecto de construcción. Al hacer clic en el enlace, se redirige al destinatario a través de varias páginas, terminando con una que solicita detalles de inicio de sesión. Diseñada para parecerse a las páginas de Microsoft OneDrive y Adobe, la página de inicio de sesión solicita a los destinatarios que ingresen sus credenciales de cuenta, que luego son capturadas por el atacante.

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (PDF gratuito) (TechRepublic)

Un variable interesante en esta campaña es la explotación de la empresa de seguridad Symantec. Entre los múltiples redireccionamientos descubiertos por Armorblox había uno creado usando la Protección de URL Click-Time de Symantec. Diseñado para ayudar a las organizaciones a proteger a sus usuarios del spam, Protección de tiempo de clic escanea y reescribe URL potencialmente maliciosas. Sin embargo, en este caso, el atacante usó esta protección para ocultar la URL true de una de las páginas sospechosas.

Además, el correo electrónico en sí incluye un aviso de que fue escaneado por el servicio en la nube de Symantec Protection con una URL de http://www.symanteccloud.com. Ese dominio en realidad no existe la URL serious para Symantec Cloud es https://securitycloud.symantec.com/. Pero un usuario desprevenido que tiene prisa o está distraído podría tomar esto fácilmente como una verificación de que Symantec ha escaneado y borrado el correo electrónico.

phishing-email-armourblox.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/05/14/4c4b9f49-6b2b-47bf-95cd-096b7dac212f/resize/770x/6a10f0c109f8f532117beec5cc62aada -email-armorblox.jpg

Imagen: Armorblox

Más allá del uso de Symantec, el atacante creó un nuevo dominio para el sitio de phishing closing, permitiéndole acceder a los filtros de Exchange On-line Defense de Microsoft. Como las páginas de inicio de sesión parecen páginas legítimas de Microsoft y Adobe, los usuarios pueden ingresar sus credenciales para cualquier tipo de cuenta.

Finalmente, el correo electrónico fue dirigido en el sentido de que contenía detalles sobre una oferta de bienes raíces y fue enviado a un empleado que trabaja con proyectos de bienes raíces. Si el destinatario esperaba tal oferta, esa persona podría fácilmente intentar descargar el archivo PDF adjunto, dando así al atacante acceso a credenciales confidenciales de la cuenta.

Los usuarios siempre deben pensarlo dos veces antes de hacer clic en un enlace o archivo adjunto, incluso si el correo electrónico parece legítimo y esperado. Pero la protección de seguridad adecuada también es esencial para proteger a las organizaciones de este tipo de ataques.

«Las pasarelas de correo electrónico seguras tradicionales (SEG) y otras soluciones de detección basadas en fuentes de amenazas, por definición, omiten los ataques de día cero porque pueden no aparecer en las fuentes de amenazas durante varias horas hasta que alguien informe que es una URL incorrecta», cofundador de Armorblox y dijo el jefe de ingeniería Arjun Sambamoorthy. «Las organizaciones deben buscar soluciones modernas de seguridad de correo electrónico que vayan más allá de los enlaces y ver los correos electrónicos en su totalidad. La capacidad de recorrer un enlace hacia abajo a través de todas las redirecciones al destino final y compararlo programáticamente con páginas de inicio de sesión conocidas de productos como Place of work 365 es crucial para detectar si las páginas de inicio de sesión están siendo falsificadas «.

Ver también

«data-credit =» Imagen: Nature, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Cerradura de seguridad cibernética. Seguridad informática Protección de Internet de datos con cerradura, llave en chip microscheme. Ataque de piratas informáticos y violación de datos, concepto de fuga de información. "Src =" https://tr1.cbsistatic.com/hub/i/r/2020/05/14/903e5fe2-ce56-4bdf-8ff0-5ce04a8a717f/resize/770x/ 99330de3ac32a25289b3323d1e9dd3fa / istock-1221432755.jpg

Imagen: Naturaleza, Getty Illustrations or photos / iStockphoto



Enlace a la noticia primary