10K dirigidos a ataques de suplantación de identidad de FedEx, …



Las dos campañas tenían como objetivo robar las credenciales de la cuenta de correo electrónico comercial de las víctimas haciéndose pasar por las empresas de envío.

Dos grandes ataques de phishing, dirigidos a un complete de 10,000 víctimas, falsificaron correos electrónicos de FedEx y DHL Express en un intento de robar las credenciales de la cuenta de correo electrónico comercial de sus objetivos.

Las técnicas de los atacantes incluyeron ingeniería social, suplantación de marca y redireccionamientos de enlaces, informan los investigadores de Armorblox que detectaron las campañas. También alojaron páginas de phishing en Quip y Google Firebase. Debido a que estos dominios se consideran confiables, los correos electrónicos maliciosos pueden pasar por alto los filtros de seguridad configurados para bloquear enlaces y archivos maliciosos, señalan los investigadores.

Considere el flujo de ataque para un mensaje falso de FedEx, que decía contener un documento escaneado para que la víctima lo revisara. Al hacer clic en el enlace, se redirige al destinatario a un archivo alojado en Quip, una herramienta complementaria para Salesforce que ofrece cosas como documentos, hojas de cálculo y diapositivas. La página dice que la víctima tiene archivos de FedEx y les pide «Haga clic aquí para revisar el documento».

Si se hace clic, el destinatario es llevado a una página de phishing last que se parece al portal de inicio de sesión de Microsoft pero que está alojada en Google Firebase. Los servicios como Google Internet sites y Quip suelen tener versiones gratuitas y son fáciles de usar, lo que reduce el listón para los delincuentes que lanzan ataques de phishing.

La segunda campaña envía correos electrónicos que se hacen pasar por DHS Specific e informan a los destinatarios que ha llegado un paquete para ellos. A las víctimas se les informa que su paquete no se pudo entregar debido a detalles de entrega incorrectos y se les solicita que descarguen un archivo adjunto para verificar la información de envío.

Al descargar y abrir este archivo adjunto, se muestra una vista previa de una hoja de cálculo que parece estar enviando documentos, pero arriba hay un mensaje de inicio de sesión que se hace pasar por la marca Adobe. Si bien es posible que los atacantes buscaran credenciales de Adobe, los investigadores creen que es más probable que esto también apunte a las credenciales de correo electrónico empresarial: el cuadro de inicio de sesión está precargado con la dirección de correo electrónico del trabajo del destinatario.

En ambos ataques, ingresar detalles falsos en la página de inicio de sesión fraudulenta devuelve un mistake, solicitando detalles correctos. Esto podría indicar una herramienta de back again-stop para verificar la validez de los detalles ingresados, o los atacantes pueden estar planeando recopilar tantos detalles como puedan, y aparecerá un mensaje de error independientemente de si es correcto.

Leer el Armorblox completo entrada en el blog site para más detalles.

Brief Hits de Dim Examining ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente unique de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary