Mimecast Logo
Obtenga un presupuesto

    Secuestro de cuenta de Facebook

    29 de enero de 2025

    Por Samantha Clarke, Hiwot Mendahun, Ankit Gupta y el equipo de investigación de amenazas de Mimecast

    Puntos clave

    Qué aprenderá en esta notificación

    • Dirigida principalmente a empresas minoristas, de medios de comunicación y editoriales de EE. UU. y Reino Unido
    • Las campañas se distribuyen a través de Recruitee, un CMS legítimo de reclutamiento
    • La intención principal es la recolección de credenciales

    Flujo de campaña

    Facebook-Account-Takeover-flow.jpg

    Los investigadores de amenazas de Mimecast han estado supervisando recientemente una campaña de phishing que aprovecha Recruitee, un sistema de gestión de clientes (CMS) de contratación de terceros legítimo. Los autores de amenazas abusan de la plataforma para enviar correos electrónicos fraudulentos con ofertas de trabajo, engañando a los usuarios finales y eludiendo potencialmente los mecanismos de detección al aprovechar un servicio de confianza. Además, registran dominios similares y los incrustan en correos electrónicos generados por Recruitee, suplantando a marcas conocidas, aumentando así la credibilidad de sus estafas de phishing.

    Facebook-Account-Takeover-1.png


    El señuelo de esta campaña gira en torno a una oportunidad de trabajo fraudulenta para un gestor de redes sociales, que incita a las víctimas a hacer clic en un enlace para solicitar el puesto. Tras una investigación más profunda, se descubrió que los dominios utilizados en las campañas se habían registrado recientemente, utilizando servicios como Porkbun y Hostinger, que son los preferidos por los autores de amenazas por su bajo coste, facilidad de uso y rápida configuración.

    Una vez que el usuario hace clic en el enlace, se utilizan aleatoriamente CAPTCHAS y filtrado de IP para impedir la detección automática, antes de que se le redirija a una página de inicio de sesión.


    Facebook-Account-Takeover-2.png


    Se les presenta una página de phishing bien estructurada con marcas y logotipos para añadir credibilidad. El objetivo principal de estas campañas es recopilar credenciales de Facebook y se indica al usuario que cree una cuenta a través de Facebook o que introduzca su dirección de correo electrónico o número de teléfono. Ambas rutas conducen al usuario a introducir las credenciales de Facebook.


    Facebook-Account-Takeover-3.png


    Tras la introducción de las credenciales, se le solicita al usuario una autenticación de segundo factor para que el actor malicioso pueda tomar control de la cuenta de Facebook. Todos los detalles introducidos en estas páginas se transfieren automáticamente a los registradores de Telegram para asegurar la toma oportuna de control de las cuentas.


    Facebook-Account-Takeover-4.png


    La actividad de la campaña muestra un pico significativo en septiembre y repunta de nuevo a finales de noviembre.


    Facebook-Account-Takeover-5.png


    Tácticas, técnicas y procedimientos:

    T1566.002: Phishing: Enlace de spear phishing
    T1598.002: Phishing para obtener información
    T1204.001: Ejecución de usuario: Enlace malicioso
    T1596.002: Buscar en sitios web/dominios abiertos para recursos propiedad de la víctima (por ejemplo, crear dominios similares)
    T1189: Compromiso por Drive-by (sitios de phishing con filtrado CAPTCHA/IP)
    T1070.004: Eliminación de indicadores en el host: Exfiltración automatizada a través de bots de Telegram

    Protección de Mimecast

    Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección.

    Destinatarios:

    Estados Unidos y Reino Unido, principalmente venta al por menor, medios de comunicación/publicación


    IOC:

    Asuntos:

    Su talento nos ha llamado la atención: únase al equipo de Red Bull.
    ¿Listo para llevar su talento a nuevas alturas con Red Bull?
    Libere su potencial: oportunidad de trabajo exclusiva con Coca Cola.

    URL:

    redbulldigitalteam[.]com
    redbull-socialmedia[.]com
    redbulldigitalcareers[.]com
    redbull-jobscareers[.]com
    redbullcareers-jobs[.]com
    digitalredbull-team[.]com
    redbullsociamedia-careers[.]com
    redbulldigital-socialmedia[.]com
    redbullcareers-digital[.]com
    redbullcareers-team[.]com
    digitalredbull-social[.]com
    cocacolacompany-application-dev-ed.develop.my.salesforce-sites[.]com
    cocacolateam-application-id23151232.netlify[.]app
    jobs-coca-cola[.]com
    victoriasecretdigital[.]com/application-work/id-23452345
    applicationworksocialmedia[.]com
    application-career[.]com

    Registros de Telegram:

    bot8072644097:AAH2AOm9SAvgBLsPjOG6THu51ULEcS-ImAg
    bot8042878074:AAHHoa9x7R5w1RiWVXxxRW49YkP-NYHuoWw
    bot7610902362:AAEeD7oxYZcbiI6UuCf3Y4s42pxYWVJRoaU


    Recomendaciones

    • Asegúrese de tener una política de protección de URL configurada para proteger la organización.
    • Busque en sus registros de protección de URL para determinar si sus usuarios han accedido a alguno de los servicios objeto de abuso. 
    • Busque en sus registros de recepción de correo electrónico para determinar si alguno de los asuntos coincidentes se ha entregado a sus usuarios.
    • Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.
    Back to Top