Falta una entrega

12 de febrero de 2025

Por Samantha Clarke, Ankit Gupta, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast

Flujo de campaña

Los investigadores de amenazas de Mimecast han observado una campaña de phishing que utiliza el señuelo de la entrega de un paquete perdido para engañar a los usuarios y que hagan clic en enlaces maliciosos y robar información financiera. La campaña se distribuye a través de Biglobe, una empresa de telecomunicaciones japonesa que los actores de amenazas explotan con frecuencia. Los atacantes aprovechan los mercados clandestinos, como fishersender[.]com, para comprar cuentas comprometidas, lo que les otorga acceso legítimo a la infraestructura de Biglobe. Este acceso les permite enviar correos electrónicos maliciosos que evaden la mayoría de los protocolos de autenticación de correo electrónico.

Los enlaces que se encuentran en esta campaña apuntan a URL legítimas de Amazon Simple Storage Service (S3). Amazon S3 es una solución de almacenamiento en la nube que admite el almacenamiento, la gestión y la recuperación de objetos como archivos HTML. Se utiliza ampliamente para alojar sitios web estáticos, proporcionando almacenamiento público. Los autores de amenazas abusan de los buckets S3 para alojar archivos o páginas maliciosos, aprovechando su reputación como servicio de confianza para eludir la verificación de seguridad.
 
En esta campaña, los buckets S3 se han utilizado para almacenar un archivo HTML diseñado como redireccionamiento a otra URL maliciosa cuando un usuario accede a él.

El archivo configura una página web en blanco (<body style="display: none">) que se oculta al usuario para evitar sospechas y que no es visible a través de los motores de búsqueda.
 
El código JavaScript construye dinámicamente una URL maliciosa concatenando variables, por ejemplo, la = "emaili", muie = "ng.targ" etc. Al dividir la URL maliciosa en partes y concatenarlas, el script intenta eludir los mecanismos de detección simples o la coincidencia básica de palabras clave.

Una vez redirigido, al usuario se le presenta una página de phishing muy bien estructurada que solo solicita su código postal. Cuando el usuario introduce la información, es redirigido a otra página que solicita detalles financieros para completar la entrega, que luego son robados.
 
La actividad de la campaña muestra picos significativos en los accesos maliciosos, especialmente a finales de agosto y principios de septiembre, con una actividad esporádica continuada hasta octubre.

Tácticas, técnicas y procedimientos:

T1598.002: Phishing para obtener información
T1583.001: Adquisición de infraestructura: dominios
T1584.004: Infraestructura comprometida: relación de confianza
T1204.001: Ejecución del usuario: enlace malicioso
T1586.002: Cuentas comprometidas: cuentas de correo electrónico
T1041: Filtración a través del canal C2

Protección de Mimecast  

Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección. 

Destinatarios:  

Reino Unido, predominantemente en los sectores sin fines de lucro y de vivienda  

IOC:

URL

hxxps://s3.amazonaws[.]com/a1zx6ttriopl/parcel.html hxxps://s3.amazonaws[.]com/hfdfbdf8/2/envi7.htm hxxps://s3.amazonaws[.]com/effdafab/9/reschedule4.htm hxxps://s3.amazonaws[.]com/a16130f3d/3/schedule0.htm hxxps://s3.amazonaws[.]com/oginokazunori/input.html hxxps://s3.amazonaws[.]com/e959ec93/4/envi4.htm hxxps://s3.amazonaws[.]com/isoebstao/hermes.html hxxps://s3.amazonaws[.]com/ceciliacha/courier.html

Recomendaciones  

• Asegúrese de tener una política de protección de URL configurada para proteger la organización. 
• Busque en sus registros de protección de URL para determinar si sus usuarios han accedido a alguno de los servicios objeto de abuso.
• Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.