Phishing de Office 365 detecta entornos aislados para evadir la deteccion

hackers imagen relacionada

Microsoft está rastreando una campaña de phishing de Office 365 en curso que utiliza varios métodos para evadir el análisis automatizado en los ataques contra objetivos empresariales.

"Estamos rastreando un ataque de phishing de credenciales activo dirigido a empresas que utiliza múltiples métodos sofisticados para la evasión de la defensa y la ingeniería social", dijo Microsoft.

"La campaña utiliza señuelos oportunos relevantes para el trabajo remoto, como actualizaciones de contraseñas, información de conferencias, tickets de asistencia técnica, etc."

Subdominios personalizados y redireccionamiento automático a dominios legítimos

Una de las tácticas de evasión utilizadas en este ataque de robo de credenciales es el uso de URL de redireccionamiento con la capacidad de detectar conexiones entrantes desde entornos de espacio aislado que los investigadores de seguridad suelen utilizar para obtener más información sobre el ataque.

Una vez que se detecta dicha conexión, el redirector pasará de enviar a las víctimas potenciales a una página de destino de phishing a redirigir cualquier intento de análisis automatizado a sitios legítimos.

Esto permite a los phishers asegurarse de que sus páginas de phishing solo sean visitadas por usuarios reales, lo que reduce drásticamente la posibilidad de que se bloqueen sus ataques y aumenta las probabilidades de que personas reales sean atraídas a sus sitios de phishing.

Los correos electrónicos de phishing utilizados en esta campaña también están muy ofuscados para garantizar que las puertas de enlace de correo electrónico seguras no puedan detectar los mensajes maliciosos y bloquearlos automáticamente antes de que lleguen a las bandejas de entrada de los objetivos.

Esta campaña también está generando subdominios personalizados para usar con sitios de redireccionamiento para cada uno de los objetivos como método para hacer que las URL de phishing sean más creíbles a los ojos de los objetivos y así aumentar la tasa de éxito de los ataques.

Estos subdominios se crean utilizando varios formatos, pero casi siempre contendrán el nombre de usuario del objetivo y el nombre de dominio de su organización.

"Este subdominio único se agrega a un conjunto de dominios base, generalmente sitios comprometidos", explicó Microsoft . "En particular, las URL de phishing tienen un punto adicional después del TLD, seguido de la dirección de correo electrónico codificada en Base64 del destinatario".

"Los subdominios únicos también significan grandes volúmenes de URL de phishing en esta campaña, un intento de evadir la detección".

Los patrones de nombres para mostrar, como "Actualización de contraseña", "Protección de Exchange", "Helpdesk- #", "SharePoint" y "Proyectos_comunicación" también se utilizan como un señuelo de ingeniería social para aumentar la probabilidad de que los objetivos cedan y hagan clic en el phishing. URL incrustadas en cada correo electrónico.

Tácticas innovadoras de evasión

A principios de este mes, se detectó otra campaña de phishing de Office 365 al invertir las imágenes utilizadas como fondos para las páginas de destino para evitar ser marcadas como maliciosas por los motores de rastreo web utilizados para detectar sitios de phishing.

El kit de phishing diseñado para usar esa táctica novedosa revierte automáticamente los fondos mediante hojas de estilo en cascada (CSS) para volver a los fondos originales de las páginas de inicio de sesión de Office 365 que están tratando de imitar.

De esta manera, los objetivos de phishing que sean redirigidos a una de estas páginas de destino verán el fondo original en lugar de los fondos de imagen invertidos con los que se sirven los rastreadores web.

Las campañas de phishing anteriores dirigidas a los usuarios de Office 365 también utilizaron tácticas innovadoras como abusar de Google Ads para eludir las puertas de enlace de correo electrónico seguras, utilizando servicios en la nube como Google Cloud Services , Microsoft Azure, Microsoft Dynamics e IBM Cloud para alojar páginas de destino de phishing, así como realizar pruebas. el inicio de sesión robado en tiempo real.

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2020-11-19. Fecha publicación el 2020-11-19. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer