Campaña de phishing de Mimecast
18 de marzo de 2025
Por Rikesh Vekaria y el equipo de investigación de amenazas de Mimecast
Qué aprenderá en esta notificación
- Campaña que se hace pasar por Mimecast y otras marcas
- Dirigido principalmente al sector inmobiliario de EE. UU.
- Utiliza redireccionamientos a través de diversos enlaces reescritos por los sistemas de seguridad del correo electrónico hacia una página destinada a la recopilación de credenciales
"Rikesh Vekaria y los investigadores de amenazas de Mimecast han identificado recientemente una campaña de phishing destinada a obtener credenciales que utiliza la marca Mimecast. Los autores de las amenazas utilizan mensajes seguros de "y", cuidadosamente diseñados, para engañar a los destinatarios y hacerles creer que los correos electrónicos son legítimos y están relacionados con comunicaciones seguras.
Estas campañas utilizan plantillas con los logotipos de Mimecast, así como los de otras empresas, para reforzar su autenticidad, pero siempre incluyen el aviso legal de Mimecast al pie del correo electrónico con el fin de engañar aún más a la víctima. Las empresas inmobiliarias parecen ser uno de los principales objetivos de esta campaña, debido a su experiencia en la recepción de mensajes seguros por correo electrónico. Esta familiaridad aumenta las probabilidades de éxito de la campaña, ya que los destinatarios pueden mostrarse más dispuestos a confiar en las comunicaciones que se asemejan a mensajes legítimos y seguros, y a interactuar con ellas.
Hemos detectado el uso de diversas tácticas para engañar a los usuarios finales y eludir los filtros de seguridad; una de ellas consiste en utilizar enlaces modificados procedentes de proveedores de seguridad del correo electrónico para redirigir a los usuarios a páginas de phishing. Mimecast ha observado este método en varias campañas analizadas en 2024. Obtenga más información sobre las técnicas utilizadas aquí.
Cuando los usuarios hacen clic en estos enlaces, se les redirige a una página que se parece mucho a la página de inicio de sesión legítima de Microsoft.
Esta campaña se detectó por primera vez a principios de febrero y se desarrolla con un volumen relativamente bajo a lo largo de la semana, con una pausa durante los fines de semana. En las últimas dos semanas se han identificado 18 000 detecciones dirigidas principalmente al sector inmobiliario.
Objetivos:
EE. UU., Sector inmobiliario
COI:
Patrón temático;
_____[NombreDeLaEmpresa] Mensaje seguro para r*****s@[dominioDeLaEmpresa #Ref-[caracteres aleatorios]
Página final de phishing;
24editor[.]com/0ffice-msoft/cloud-mail/
Recomendaciones
- Asegúrese de que la política «URL Protect » esté configurada para proteger a la organización.
- Revise sus registros de recibos de correo electrónico para determinar si se han enviado a sus usuarios mensajes con asuntos similares.
- Revise sus registros de seguridad web para determinar si algún usuario ha accedido a la página final de phishing
- Restablezca las contraseñas de todos los usuarios afectados como medida de precaución
- Sensibilizar a los usuarios finales sobre el uso indebido de los servicios de confianza