Mimecast Logo
Obtenga una cotización

    Estafa de BEC dirigida

    17 de diciembre de 2024

    Por el equipo de investigación de amenazas de Mimecast

    Puntos clave

    Qué aprenderá en esta notificación

    Los actores de amenazas despliegan deepfakes utilizando la voz en una sofisticada campaña de suplantación de identidad de bufetes de abogados

    • Sofisticada campaña de compromiso de correo electrónico empresarial (BEC) que explota DocuSign y Adobe Sign
    • Los atacantes utilizan deepfakes para añadir credibilidad a sus estafas
    • Dirigida principalmente a la banca, los servicios financieros y los seguros

    Flujo de campaña

    Targeted-BEC-Campaign-flow.jpg

    Los investigadores de amenazas de Mimecast han descubierto una campaña de suplantación de identidad de correo electrónico empresarial (BEC) muy específica. Nuestro análisis revela que se están utilizando técnicas cada vez más sofisticadas para que los correos electrónicos BEC parezcan legítimos.

    Correo electrónico inicial

    La campaña comienza con un correo electrónico enviado a través de servicios de confianza, como DocuSign y Adobe Sign, que afirma falsamente proceder de un bufete de abogados. El correo electrónico solicita al destinatario que firme un documento y llame a un número de teléfono proporcionado, que no está asociado con el bufete de abogados.

    Targeted-BEC-Scam-img1.webp

    Esta campaña parece estar muy dirigida, y los detalles del bufete de abogados en estos correos electrónicos iniciales indican que el actor de la amenaza puede tener conocimiento previo de una relación laboral con la empresa objetivo. Una vez que la víctima llame al número, hablará con el actor de la amenaza haciéndose pasar por alguien de este bufete de abogados.

    A continuación, se le indica a la víctima que envíe un correo electrónico a una dirección con un dominio parecido al del bufete de abogados legítimo, creando así una relación de correo electrónico con esta dirección sospechosa. Esta dirección se utilizará para futuras comunicaciones como remitente de confianza para este usuario.

    Los dominios utilizados en el correo electrónico inicial, junto con dominios similares vinculados a bufetes de abogados, dependen principalmente de Eranet International Limited para el alojamiento y de Hostinger para sus servidores de nombres. Ambos proveedores tienen un historial de abusos extensos por parte de los actores de amenazas y desempeñan un papel crucial en la infraestructura actual de este actor de amenazas.

    Comunicación de seguimiento

    Una vez establecida la conexión, el actor de amenazas utiliza la dirección sospechosa para enviar una factura fraudulenta que requiere pago. Para dar mayor legitimidad a esta campaña, la víctima recibirá una llamada telefónica falsa en algunos casos a través de WhatsApp haciéndose pasar por un director general o alguien autorizado para aprobar la transferencia. Las cantidades solicitadas suelen ser importantes y deben tratarse con extrema precaución.

    Targeted-BEC-Scam-img2.webp

    Los archivos compartidos con la empresa objetivo también parecen tener algún patrón 

    Protección de Mimecast

    Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección. Vea la página Protección avanzada frente a ataques al electrónico empresarial para obtener más información sobre cómo nuestras capacidades avanzadas de IA y procesamiento del lenguaje natural ayudan a detectar amenazas en evolución.

    Destinatarios:

    Principalmente en EE. UU. y Reino Unido, en banca, servicios financieros y seguros.
    También se han detectado detecciones fuera de esas regiones y verticales.

    IOC

    Dominio inicial de respuesta

    mail-sign[.]com
    n4a-doc[.]com
    doc-sign[.]net
    ds-sign[.]net
    mail-doc[.]net
    n4a-doc[.]net
    en1-docusign[.]net
    6-docusign[.]com
    en10-docusign[.]net
    sign-en1[.]com
    doc-docusign[.]com
    a-docusign[.]com
    7-docusign[.]com
    en2-docusign[.]com
    2-docusign[.]com
    en-docusign[.]com
    sign-doc[.]net
    sign-mail[.]com
    sign-acrobat[.]com
    doc-docusign[.]net
    8-docusign[.]com
    dse-sign[.]com
    dse-doc[.]net
    sign-n4a[.]net
    n4a-dse[.]net
    dse-n4a[.]net
    n4a-ds[.]com
    n2a-dse[.]com
    dse-n2a[.]net
    n2a-dse[.]net
    dse-n2a[.]com
    b-docusign[.]com
    ds-n4a[.]com
    sign-en3[.]com
    sign-en2[.]com
    n4a-sign[.]net
    mail-sign[.]net
    doctosign[.]tech


    Recomendaciones

    • Realice sesiones de concienciación para los empleados sobre las tácticas de BEC y cómo identificar los intentos de phishing.
    • Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.
    • Implemente protocolos de verificación para cualquier correo electrónico inesperado o sospechoso que supuestamente provenga de bufetes de abogados que utilicen Docusign y Adobe Sign, especialmente aquellos que soliciten información confidencial o transacciones financieras.
    • Informe siempre de cualquier correo electrónico de phishing o estafa BEC a Mimecast o a su proveedor de seguridad de correo electrónico.

    Informe de estafas

    Mimecast está trabajando activamente con servicios como Docusign para ayudar a combatir el uso indebido de estos servicios de confianza.

    Back to Top