Mimecast Logo
Obtenga una cotización

    Campañas de phishing que utilizan enlaces reescritos

    31 de julio de 2024

    Puntos clave

    • Se han detectado campañas de phishing que contienen enlaces reescritos de múltiples soluciones de seguridad de correo electrónico.
    • Se requieren cuentas comprometidas para generar enlaces reescritos
    • La intención principal parece ser la recolección de credenciales.

    Durante los últimos tres meses, los investigadores de amenazas de Mimecast han detectado y estado monitoreando a los actores de amenazas que utilizan enlaces reescritos de varias soluciones de seguridad, incluyendo Mimecast, para enmascarar su intención maliciosa. Se espera que la lista de soluciones de seguridad de correo electrónico abusadas crezca. Aunque esta técnica no es nueva, la adopción generalizada de este método en múltiples soluciones de seguridad de correo electrónico, especialmente en junio, indica la participación de actores de amenazas altamente organizados y con buenos recursos.

    Los actores de amenazas continúan abusando de herramientas y soluciones legítimas en las que generalmente se confía para evadir la detección y engañar a los usuarios finales. A continuación se muestran un par de ejemplos de correos electrónicos de phishing utilizados en estas campañas. Estos correos electrónicos suelen contener referencias personalizadas a la empresa objetivo, lo que añade un nivel de sofisticación a esta operación a gran escala. La intención principal de estos correos electrónicos parece ser la recopilación de credenciales, que luego podrían utilizarse para nuevos ataques o venderse con fines lucrativos.

    Ejemplo número 1

    Phishing-campaign-1.svg 

    Ejemplo número 2

    Phishing-campaign-2.svg

    Flujo de campaña
    • La cuenta de usuario comprometida como resultado de una variedad de métodos de ataque, proporciona al actor de la amenaza un medio para generar enlaces reescritos. 
    • Se envía un correo electrónico que contiene un enlace malicioso a la(s) cuenta(s) comprometida(s) que utiliza la solución de seguridad de correo electrónico para reescribir la URL. 
    • El actor de la amenaza utiliza la cuenta comprometida para comprobar si se detecta la URL maliciosa.
    • Si no se detecta la URL, la URL reescrita se inserta en sus plantillas de phishing y se envía a sus objetivos.
    • Se han observado campañas de diferentes fuentes de correo electrónico, cuentas comprometidas, soluciones de seguridad de correo electrónico y dominios creados manualmente. 

    Protección de Mimecast
    • Hemos identificado varios atributos en las campañas que utilizan enlaces reescritos Mimecast que se han añadido a nuestras capacidades de detección.
    • Seguimos supervisando las cuentas de los clientes que puedan haber sido comprometidas y nos aseguramos de que se tomen las medidas necesarias.
     
    Destinatarios:

    Global, todos los sectores


    Servicios abusados identificados: 


    Cualquier solución de seguridad de correo electrónico que reescriba enlaces puede ser potencialmente objeto de abuso en este tipo de campaña, y se espera que la lista de servicios identificados como abusivos aumente en la actualidad:

    • Mimecast: url.uk.m.mimecastprotect.com
    • Barracuda: linkprotect.cudasvc.com
    • Proofpoint: urldefense.proofpoint.com
    • Darktrace: us01.z.antigena.com
    • Intermedia: url.emailprotection.link
    • TitanHq: linklock.titanhq.com
    • Bitdefender: linkscan.io
    • Hornet Security: atpscan.global.hornetsecurity.com
    • Viper Security: url2.mailanyone.net
    • Topsec: scanner.nextgen.topsec.com

    Líneas de asunto:


    Existen múltiples variaciones

    • Fecha límite para la presentación del informe de horas cc08618ea37625e4f9f7b330bded9dc3
    • Se ha activado una alerta de gravedad
    • Aviso de vencimiento
    • Resumen diario de recciones, 22 de julio de 2024 a las 16:08:27
    • Documento compartido con usted

    Recomendaciones
    • Asegúrese de que su política de análisis de spam está configurada en el ajuste moderado recomendado.
    • Habilite la inscripción de dispositivos dentro de Protección TTP de URL, lo que garantiza que la propagación de cualquier URL creada para su uso en la campaña se reduzca en gran medida.
    • Busque en sus registros de Protección TTP de URL para determinar si sus usuarios han accedido a alguno de los servicios objeto de abuso.
    • Revise los registros de autenticación (Mimecast, Microsoft Entra, ADFS, etc.) asociados con los usuarios que interactuaron con las URL utilizadas indebidamente para determinar si existe un posible compromiso.
    • Asegúrese de que se investiguen las cuentas comprometidas, se resuelvan de inmediato y se ponga en marcha un seguimiento para detectar cualquier actividad inusual.
    • Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.

    Explore los artículos sobre inteligencia de amenazas

    60BLOG_1.jpg
    Threat Intelligence Blog
    Verizon: 60% of breaches involve human error
    may. 01, 2025
    01BLOG_1.jpg
    Threat Intelligence Blog
    World Password Day 2025: Keeping credentials safe
    abr. 30, 2025
    53BLOG_1.jpg
    Threat Intelligence Blog
    CVE Program receives funding extension, but concerns remain
    abr. 22, 2025
    Back to Top