Mimecast Logo
Obtenga una cotización

    Herramientas de IA como infraestructura de campaña

    2 de agosto de 2024

    Puntos clave

    Qué aprenderá en esta notificación

    • Se observaron 380 000 correos electrónicos de phishing desde mediados hasta finales de marzo de 2023 haciéndose pasar por equipos internos de RR. HH.
    • Los correos electrónicos fomentaban acciones relacionadas con la formación y el cumplimiento y contenían enlaces a una página de phishing de credenciales.
    • Cada correo electrónico contenía un HTML, pero era un PDF que incluía un enlace malicioso.
    • La campaña abusó de múltiples servicios web, incluyendo Replit para realizar una redirección e IPFS para alojar la página de phishing de credenciales.

    Mimecast Threat Research ha observado a actores de amenazas distribuyendo archivos PDF maliciosos disfrazados de archivos adjuntos de correo electrónico HTML. Se observaron múltiples campañas utilizando el mismo archivo adjunto PDF disfrazado de archivo HTML llamado «Contract_document.html» 18 y 27 de marzo de 2024.

    Los archivos adjuntos tienen un archivo adjunto .html, pero son de tipo MIME PDF, por lo que, si se abre en un navegador web moderno, seguirá mostrándose como PDF. Los archivos adjuntos observados se enviaron a través de múltiples campañas de malspam con temas similares dirigidos a numerosas organizaciones y contenían URL maliciosas. El volumen total observado alcanzó poco menos de 380 000 correos electrónicos entre el 18, el 20 y el 27 de marzo.

    Cada campaña intentaba generalmente hacerse pasar por equipos internos de RR. HH. que distribuían actualizaciones sobre evaluaciones de rendimiento de los empleados, políticas de vacaciones anuales o formación obligatoria. En algunos casos, con expresiones de urgencia o viajes al extranjero con gastos pagados. Se observó un tema similar, ya que cada uno contenía elementos específicos relacionados con los destinatarios a los que iba dirigido, como el nombre de la organización y la dirección de correo electrónico de los destinatarios.

    En el primer ejemplo se utiliza el señuelo de las evaluaciones del personal y se anima a los destinatarios a hacer clic para ver quién ha recibido un premio.

    TI_Online-AI-Tools-pic1.png

     
    En el segundo ejemplo, se utilizó como tema una política de vacaciones anuales y se amenaza al destinatario con sanciones económicas si no cumple con la solicitud.

    TI_Online-AI-Tools-pic2.png

     
    El tercer ejemplo utiliza como tema la formación asignada al personal con el aliciente adicional de los gastos de viaje al extranjero pagados.

    TI_Online-AI-Tools-pic3.png

     
    Todas estas campañas siguieron temas similares que son comunes en la mayoría de las campañas de phishing dirigidas al sector. Utilizando una combinación de miedo y curiosidad para animar a los destinatarios a hacer clic en los enlaces. Cada campaña mostraba un enlace falso que pretendía ser un destino interno, sin embargo, al pasar el cursor sobre el enlace del ejemplo 3 podemos ver que la URL real redirige a un host «replit.app».

    Replit es otra herramienta que los actores de amenazas han estado utilizando para escenificar recursos y redirigir a las víctimas. El siguiente gráfico muestra el número de correos electrónicos maliciosos detectados que contienen una URL de Replit como los ejemplos mostrados anteriormente.

    TI_Online-AI-Tools-pic4.png

     
    Patrón de ataque

    Resumen de las metodologías utilizadas por el actor de la amenaza para este ataque:

    Proveedores de servicios de correo electrónico
    • Se utilizó Mailgun para distribuir los correos electrónicos en masa para esta campaña. La cuenta parecía pertenecer a una empresa legítima, lo que significa que el actor de la amenaza probablemente la comprometió para su propio uso.
    Enlaces de phishing
    • Enlace de phishing: se utilizó Replit para redirigir a los clickers hacia un archivo malicioso alojado en IPFS.
    • Archivo adjunto de phishing: el actor de la amenaza adjuntó un archivo a los correos electrónicos que también contenía un enlace malicioso a un sitio de Replit.
    Adjunto de correo electrónico
    • El archivo adjunto incluido en los correos electrónicos era un archivo PDF, pero tenía la extensión .html. El archivo se abriría por defecto en un navegador web, la mayoría de los navegadores modernos como Chrome seguirán mostrando el archivo como PDF.
    Abuso de servicios web
    • Probablemente se utilizó una prueba gratuita de Replit para crear y alojar la página de redireccionamiento.
    • IPFS se utilizó para alojar el archivo de phishing de credenciales al que se redirigía desde el sitio de Replit.
    Ingeniería social
    • Los correos electrónicos observados utilizaban un tema uniforme para atraer a los destinatarios a hacer clic en enlaces maliciosos.
    • Se suplantó a los equipos internos de RR. HH. utilizando un enfoque de palo y zanahoria como llamada a la acción.
    Robo de información
    • IPFS se utilizó para escenificar el archivo malicioso que mostraba la página web utilizada para la captura de credenciales.
       ​

    Destinatarios

    Global, todas las industrias

     

    IOC

    Fuentes de origen
    • Pc232-12.mailgun.net [143.55.232.12]
    Adjunto(s)
    • Contract_document.html
    • La sección de autor del PDF contenía una cadena común “Son of God”
    • Volcado hexadecimal del archivo
    URL
    • Cuerpo del correo electrónico
      • hxxps://owa-5ghdhjd897d67hgdbndbnm-bn8272vbnsjbskjs-892672vhbxbhtys5665.replit[.]app/#recipient_email@domain.com
    • Adjunto
      • hxxps://afcc3a49-0553-4865-a79d-1ee5dfa1465f-00-1jjmbzmgsvm64.picard.replit[.]dev/#recipient_email@domain.com
    • Página de Phishing
      • hxxps://cloudflare-ipfs[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy/owa-index-server.html#recipient_email@domain.com
    • Sistema de archivos interplanetario (IPFS)
      • La URL efectiva después de la redirección de Replit conducía a un archivo almacenado en IPFS al que se accedía a través de la puerta de enlace IPFS de Cloudflare: hxxps://cloudflare-ipfs[.]com/ipfsbafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Cloudflare IPFS es solo una de las puertas de enlace disponibles para acceder al archivo y la cadena de caracteres al final de la ruta IPFS representa el Content ID (CID) del archivo. IPFS permite el acceso a través de cualquier puerta de enlace disponible si tienes el CID.
      • hxxps://storry[.]tv/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://nftstorage[.]link/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://hardbin[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Cada una de estas URL seguirá accediendo al mismo archivo almacenado en IPFS. Esto significa que un actor malintencionado puede recorrer las puertas de enlace para crear otra URL que esté bloqueada.
    • La sección de autor del PDF contenía una cadena común “Son of God”
    • Volcado hexadecimal del archivo
       ​

    TTP

    T1608.005: Capacidades de la etapa: Enlace de destino
    T1586.002: Cuentas comprometidas: Cuentas de correo electrónico
    T1566.002: Phishing: Enlace de spear phishing
    T1566.001: Phishing: Archivo adjunto de spear phishing
    T1036.008: Suplantación de identidad: Tipo de archivo de suplantación de identidad

    Explore los artículos sobre inteligencia de amenazas

    30BLOG_1.jpg
    Threat Intelligence Blog
    CVE Program receives funding extension, but concerns remain
    abr. 22, 2025
    32BLOG_1.jpg
    Threat Intelligence Blog
    Mimecast Threat Intelligence: How ChatGPT Upended Email 
    abr. 17, 2025
    44BLOG_1.jpg
    Threat Intelligence Blog
    GhostGPT and email threat protection: A rising AI-driven threat  
    abr. 01, 2025
    Back to Top