Los ciberdelincuentes están explotando cada vez más plataformas de marketing por correo electrónico legítimos para lanzar sofisticadas campañas de phishing, aprovechando la reputación confiable de estos servicios para evitar filtros de seguridad y engañar a las víctimas.
Este vector de amenaza emergente representa una evolución significativa en las tácticas de phishing, donde los atacantes abusan de dominios de seguimiento de clics y servicios de redirección de URL proporcionados por compañías establecidas de marketing por correo electrónico para enmascarar sus intenciones maliciosas.
Las campañas utilizan plataformas como ‘Klclick3.com’ de Klaviyo y los dominios ‘Dripemail2.com’ de Drip Global, que son servicios legítimos de seguimiento de clics diseñados para monitorear las interacciones de los usuarios con correos electrónicos de marketing.
Al enrutar URL maliciosos a través de estos dominios de confianza, los atacantes crean una apariencia de legitimidad que ayuda a sus correos electrónicos de phishing a evadir la detección de los sistemas de seguridad tradicionales.
La técnica es particularmente insidiosa porque explota el inherente que los usuarios de la confianza colocan en plataformas de marketing reconocidas.
Un análisis reciente revela que estas campañas a menudo emplean señuelos sofisticados, incluidas notificaciones falsas de correo de voz, solicitudes de documentos DocUsign y mensajes relacionados con el pago.
Muestra de correo electrónico de phishing que utiliza correo de voz como señuelo (fuente – Trustwave)
Los atacantes demuestran una notable adaptabilidad, combinando técnicas tradicionales de phishing con métodos de evasión modernos, incluidos la verificación de Captcha, dominios comprometidos y abuso de servicios en la nube como Amazon Web Services y Cloudflare.
Investigadores de la onda de confianza identificado Un aumento significativo en las URL de phishing que contienen patrones familiares y plantillas de phishing similares, señalando el resurgimiento en el abuso de las plataformas de marketing por correo electrónico junto con el uso generalizado de los redirectores de URL.
Su sistema PAGEML, que combina componentes de aprendizaje automático con marcos de inteligencia de URL, ha sido fundamental para detectar estas amenazas en evolución en tiempo real.
Técnicas avanzadas de redirección y evasión
La sofisticación técnica de estas campañas es evidente en sus mecanismos de redirección de varias capas.
En un caso documentado, los atacantes utilizaron un esquema de redirección codificado Base64 donde la URL de phishing inicial contenía cadenas codificadas que, cuando se decodificaban, revelaban el destino malicioso real.
Muestra de correo electrónico de phishing que también contiene una imagen de remesas falsas (fuente – Trustwave)
El análisis del código fuente mostró:-
Killed.RedirectUrl = “Ahr0chm6ly9vzmzpy21hc2rpbmrvbw1qzw9hawv1bnquuxn6a3flahjexpkf2d3 Jiz3h1dwd4yxf1bxjtlwlwlwrkbnmy29tl2yvnfntd08uu5lq3b5mwddeetzx0w = “; Killed.Redirecturl = Atob (Killed.Redirecturl); // decodificar a URL real
Además, los atacantes implementan medidas anti-análisis al deshabilitar la funcionalidad de clic derecho a través de los oyentes de eventos de JavaScript:-
addEventListener (“contextMenu”, function (e) {e.preventDefault ();});
Las campañas también emplean técnicas de phishing de camaleón, obteniendo información y logotipos de la compañía dinámicamente utilizando servicios como ClearBit para crear páginas de phishing personalizadas que parecen legítimas para las víctimas específicas.
Estas páginas a menudo integran el torniquillo de CloudFlare para la verificación humana, agregando otra capa de evasión mientras parecen proporcionar medidas de seguridad.
Captcha de verificación humana (fuente – Trustwave)
El abuso de la infraestructura legítima crea desafíos significativos para los equipos de seguridad cibernética, ya que los enfoques tradicionales de la lista negra se vuelven ineficaces cuando el contenido malicioso se aloja en dominios de confianza.
Esta tendencia subraya la necesidad de un análisis de comportamiento avanzado y los sistemas de detección basados en el aprendizaje automático capaces de identificar la intención maliciosa independientemente de la reputación de la infraestructura de alojamiento.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
