Los kits de phishing están evolucionando rápidamente. Los actores de amenaza detrás de los kits de herramientas como Tycoon2fa, EvilProxy y Sneaky2FA se están volviendo más inteligentes, configurando una infraestructura que evita 2FA e imita plataformas de confianza como Microsoft 365 y CloudFlare para robar credenciales de usuarios sin criar banderas rojas.
Pero si formas parte de un equipo de SoC o amenazas Intel, no tienes que sentarte y esperar alertas.
Hay una forma más rápida y proactiva de descubrir y bloquear estos ataques antes de que se deslicen a través de las grietas.
La forma más rápida de descubrir campañas emergentes de phishing
Soluciones como la búsqueda de inteligencia de amenazas le brindan acceso instantáneo a un grupo masivo de indicadores como archivos, URL, dominios y comportamientos, extraídos de análisis en vivo de malware y muestras de phishing realizadas por analistas de 15,000 compañías en todo el mundo dentro de cualquier.
Puede buscar en IOC frescos, IOB y IOA, monitorear la actividad de las campañas, extraer artefactos y alimentarlos directamente en su pila de detección.
Echemos un vistazo a cómo funciona esto en la práctica:
Tycoon2fa: Encuentre campañas de phishing activas en la naturaleza
Digamos que quieres rastrear sesiones de sandbox del mundo real que involucran Tycoon2fa; Kit de phishing diseñado para robar credenciales de Microsoft y evitar la autenticación de dos factores.
Estamos específicamente interesados en cómo se dirige a los usuarios en Alemania, aquí hay una consulta rápida que podemos ejecutar en la búsqueda de inteligencia de amenazas:
amenazeName: “Tycoon” y SubmissionCountry: “De”
Establezcamos el período de búsqueda en los últimos 3 días (encontrará ese filtro justo al lado del botón de búsqueda).
Establecer el período de búsqueda en los últimos 3 días para información fresca
En cuestión de segundos, la búsqueda devuelve sesiones de sandbox donde los usuarios analizaron las muestras de Tycoon2fa.
Sandbox Analysis Sessions con kit de phishing Tycoon2fa analizado por usuarios en Alemania
Puedes explorar estos análisis para observar todo el ataque. A continuación se muestra una captura de pantalla de una de las sesiones que se encuentran en los resultados:
Any.
Este tipo de visibilidad ayuda a los analistas a responder más rápido y con más confianza, utilizando datos de ataque del mundo real, no solo firmas de amenazas genéricas.
También puede descargar un archivo JSON con todos los enlaces de sesión, URL extraídas y hashes de archivo.
Es una forma simple de recopilar indicadores procesables y enriquecer sus reglas de detección o listas de bloque antes de que estas amenazas incluso aterricen en su entorno.
Dale a tu equipo la información que necesita para atrapar amenazas antes de que se conviertan en incidentes -> Obtenga 50 solicitudes de prueba en la búsqueda de TI
Evilproxy: dominios maliciosos de superficie en segundos
EvilProxy es conocido por abusar de los servicios legítimos en la nube para alojar la infraestructura de phishing, lo que dificulta que sus campañas se detecten utilizando métodos de detección tradicionales.
Una táctica común implica aprovechar a los trabajadores de la nube para crear un gran número de subdominios.
Para rastrear estas campañas, ejecute la siguiente consulta en la búsqueda de inteligencia de amenazas:
DomainName: “. trabajadores.dev” y amenazle: “malicioso”
Esta consulta se dirige a un patrón conocido en las campañas de EvilProxy; abuso de .Workers.dev para organizar páginas de phishing.
Después de ejecutar la búsqueda, vaya a la pestaña Dominios para ver una lista de dominios extraídos de sesiones de sandbox. Muchos de estos están vinculados directamente a las muestras de EvilProxy:
TI Dominios de búsqueda de la pestaña Mostrando las sesiones de sandbox relevantes
Tener acceso a indicadores de infraestructura actualizados como estos ayuda a su equipo a bloquear las amenazas antes, refinar las reglas de detección y reducir el tiempo de análisis manual, especialmente cuando esos dominios ya se están utilizando en ataques activos.
Sneaky2fa: atrapar elementos reutilizados en todas las campañas
Si bien los atacantes cambian constantemente los dominios, los IP y los nombres de archivos para evitar la detección, algunos artefactos tienden a permanecer igual en todas las campañas que involucran kits de phishing.
Estos pueden incluir cosas como imágenes de Favicon, plantillas de página de inicio de sesión, fragmentos de JavaScript o activos de marca como logotipos.
Esto se debe a que los activos proporcionados por los kits de phishing a menudo se reutilizan o solo se personalizan ligeramente entre campañas.
La reconstrucción de un kit completo lleva tiempo, por lo que los actores de amenaza con frecuencia copian y pegan elementos de un objetivo a otro. Esta consistencia brinda a los defensores una pequeña pero crítica ventana de oportunidad.
Por ejemplo, Sneaky2FA utiliza regularmente páginas de inicio de sesión de Microsoft 365 falsificadas, y uno de los activos que a menudo incluye es el mismo logotipo de Microsoft.
Al buscar el hash SHA-256 de ese logotipo en la búsqueda de inteligencia de amenazas, puede descubrir muestras de phishing frescas vinculadas a este kit:
Sha256: “5D91563B6ACD54468A282083CF9EE3D2C9B2DAAA45A8DE9CB661C2195B9F6CBF
Incluso si el atacante gira el dominio u ofusca partes de la página, los artefactos estáticos como este logotipo a menudo permanecen intactos.
Eso los convierte en indicadores valiosos para identificar campañas en curso que de otro modo podrían pasar a través de la detección tradicional de la red.
Resultados de búsqueda de TI que muestran sesiones de sandbox vinculadas a un logotipo reutilizado de Microsoft 365
Este enfoque te ayuda a atrapar la actividad de phishing que se ha disfrazado para verse nueva, pero en realidad es el mismo kit debajo. Es una manera simple de mantenerse un paso por delante de los atacantes que reutilizan lo que funciona.
Fortalecer la detección con inteligencia de phishing del mundo real
Los kits de phishing como Tycoon2fa, EvilProxy y Sneaky2fa evolucionan rápidamente, pero sus rastros son visibles si sabes dónde mirar.
Con Any. Busca de inteligencia de amenazas de RunSu equipo puede moverse de reactivo a proactivo: descubrir nuevos indicadores, rastrear la infraestructura del atacante e identificar activos reutilizados antes de alcanzar su entorno.
La detección de amenazas anterior y la contención más rápida reducen el riesgo de violaciones y limitan el daño potencial más fuerte protección basada en datos del mundo real mejora la postura de seguridad general en la organización Los tiempos de respuesta más rápidos ayudan a minimizar la interrupción operativa y los costos más bajos de manejo de incidentes.
Obtenga 50 solicitudes de prueba en la búsqueda de TI ¡Y convierta los indicadores dispersos en Intel procesable!
