Una nueva ola de correos electrónicos de phishing que promete un puesto de “gerente de redes sociales” en Red Bull ha surgido en bandejas de entrada corporativas y personales en todo el mundo.
Disfrazado de invitaciones personalizadas, los mensajes se originan en (correos electrónicos protegidos) y navegan a través de los controles SPF, DKIM y DMARC, dando a los filtros tradicionales pocas razones para desconfiar de ellos.
Correo electrónico falso (Fuente – Evalian)
Su señuelo aprovecha el apetito de trabajo remoto impulsado por la pandemia y el fuerte reconocimiento de marca del gigante de energía.
Los destinatarios que hacen clic en el enlace incrustado se canalizan a una puerta de recaptcha y luego a una página de vacantes de estilo de vidrio pulido.
Descripción del trabajo falso al estilo Glassdoor (Fuente-Evalian)
Los analistas de Evalian señalaron que, si bien la fachada se ve benigna, el dominio Redbull-Social-Media-Manager.apply-to-get-hired.com tiene apenas semanas de edad y se resuelve con un VPS en AS-63023, una red conocida por una infraestructura maliciosa de corta duración.
Después de la falsa descripción del trabajo, las víctimas son redirigidas a un inicio de sesión de Facebook falsificado donde las credenciales se desvían a través de una publicación a /login_job el 38.114.120.167.
Esas credenciales nunca llegan a Facebook; En cambio, desaparecen en un backend que a menudo devuelve un tiempo de espera de la puerta de enlace 504, una maniobra estancada que frustra los sandboxes y enmascara la exfiltración exitosa.
Investigadores de evaluación identificado La misma huella digital TLS Jarm a través de los dominios de hermanos que falsifican a MrBeast y Meta, demostrar que la campaña es un kit rentable en lugar de una sola sola.
La evasión de detección es donde la operación realmente brilla. Los atacantes abusan del grupo IP de alta reputación de Mailgun, permitiéndoles heredar el Halo de confianza de Xero mientras ocultan la respuesta real a la dirección (correo electrónico protegido).
Automatizamos la emisión de Vamos Cifrar para que cada host presente un certificado nuevo y válido, borrando las típicas banderas rojas “autofirmadas”. Incluso la recaptcha no es para el usuario; Se acelera los bots de escaneo de URL el tiempo suficiente para soltarlos.
donde mail.sender_domain == “post.xero.com” y mail.reply_to coincidas “.*user0212-stripe.com” y url.domain endswith (“aplicar a-get-hired.com”) y Network.Jarm == “27D40D40D00040D00042D43D00000000D2E61CAE37A985F75ECAFB81B33CA523”
La consulta de estilo kusto anterior, adaptada de las reglas SOC de Evalian, la reputación del remitente triangulada, la respuesta anómala a los dominios, la infraestructura maliciosa de alto nivel y la firma de jarm compartida, que ofrece alertas de alta fidelidad sin ahogando analistas en ruido.
Si bien los cazadores de empleo siguen siendo los objetivos principales, las organizaciones deben bloquear los COI listados, monitorear el tráfico saliente para 38.114.120.167 y enseñar a los usuarios que incluso los correos electrónicos que pasan cada prueba de autenticación aún pueden ser un lobo con ropa bien forjada.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
