Mimecast Logo
Obtenga un presupuesto

    Hacer que el usuario copie/pegue enlaces

    12 de febrero de 2025

    Por el equipo de investigación de amenazas de Mimecast

    Puntos clave

    Qué aprenderá en esta notificación

    • Se dirigen principalmente a empresas de los sectores jurídico, minorista y manufacturero de EE. UU.
    • Las campañas se distribuyen a través de AWS SES enviadas mediante un distribuidor de correo electrónico escrito en Python
    • La intención principal es la recolección de credenciales

    Flujo de campaña

    Copy-and-Paste-flow.jpg

    Para evadir la detección por parte de las soluciones de seguridad, los actores de amenazas ahora están alentando a los usuarios a interactuar con enlaces mal formados a través de copiar y pegar desde el correo electrónico en sus navegadores. Los investigadores de amenazas de Mimecast han identificado que estos señuelos a menudo presentan un botón con un enlace roto acompañado de este texto: «Si el evento de que el enlace proporcionado no funciona como se espera, copie el siguiente enlace y péguelo en la barra de direcciones de su navegador». El correo electrónico utiliza el señuelo común de compartir archivos de pago para engañar a los usuarios y que interactúen con el correo electrónico. Sin embargo, donde el usuario normalmente haría clic en el botón «Ver archivo», este se ha hecho a propósito no clicable, por lo que se requiere que el usuario interactúe con el enlace en la parte inferior del correo electrónico.

    Copy-and-Paste-1.png

    El enlace se presenta como texto sin formato, no como un hipervínculo activo (), por lo que es posible que no sea detectado inmediatamente por los filtros de seguridad que buscan URL maliciosas. Como se anima al usuario a copiar y pegar manualmente, se elude el análisis automático de enlaces de las herramientas de las plataformas de seguridad del correo electrónico. La URL incluye dominios de confianza como sharepoint.com para dar una apariencia de credibilidad. Sin embargo, va seguida de un dominio malicioso no relacionado: hoteis-em-gramado[.]com.

    El enlace tiende a ser largo, con varias ofuscaciones y codificación base64, lo que dificultaría al usuario determinar si es sospechoso. Al decodificar el código en base64, parece haber parámetros adicionales que se han ocultado;

    sv=o365_1_sp&rand=ajk3WHM=&uid=USER27092024U07092722

    sv=o365_1_sp: Probablemente significa el servicio o la plataforma que está siendo falsificada. Aquí, parece indicar «Office 365 SharePoint» (o365_1_sp).

    rand=ajk3WHM=: Parece ser un valor generado aleatoriamente, posiblemente para crear URL únicas con fines de seguimiento. Las cadenas aleatorias como esta pueden actuar como un ID de sesión o de seguimiento para que los atacantes identifiquen a la víctima.

    uid=USER27092024U070927227: Probablemente un identificador de usuario (uid), que podría corresponder a un objetivo específico en la campaña de phishing. El patrón similar a una fecha (27092024) podría codificar la marca de tiempo de cuando se generó el correo electrónico o el enlace de phishing.

    Una vez que el usuario copie y pegue el enlace en su navegador, se añadirán los datos «http://» que faltan para completar el enlace y se le redirigirá a una página de recopilación de credenciales que contiene algún tipo de archivos.

    Copy-and-Paste-2.png

    La actividad de la campaña muestra un pico significativo a finales de octubre, con actividad esporádica continua en noviembre.

    Copy-and-Paste-3.png

    Tácticas, técnicas y procedimientos:

    T1204.001: Ejecución del usuario: enlace malicioso
    T1598.002: Phishing para obtener información
    T1566.002: Enlace de spear phishing
    T1071.001: Protocolo de capa de aplicación: protocolos web (HTTP/HTTPS)
    T1586.002: Cuentas comprometidas: cuentas de correo electrónico
    T1588.006: Obtener capacidades: servicios web
    T1027: Archivos o información ofuscados

    Protección de Mimecast

    Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección.

    Destinatarios:

    Estados Unidos, predominantemente legal, minorista y manufacturero

    IOC:

    Asuntos:

    Aviso de pago_Have2020 __[MSG-ID-8284766044wzdjjatjmcvlzp]
    Lisa compartió el «Informe de detalles de pago»
    Aviso del departamento de finanzas: Transmisiones recientes de pagos a proveedores
    Confirmación de liquidación el 23/10/24

    URL:

    hoteis-em-gramado[.]com

    Recomendaciones

    • Asegúrese de tener una política de protección de URL configurada para proteger la organización.
    • Busque en sus registros de protección de URL para determinar si sus usuarios han accedido a alguno de los servicios objeto de abuso.
    • Busque en sus registros de recepción de correo electrónico para determinar si alguno de los asuntos coincidentes se ha entregado a sus usuarios.
    • Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.
    Back to Top