Una sofisticada campaña de ataque descubierto donde los cibercriminales están armando la propia infraestructura de seguridad de Cisco para realizar ataques de phishing.
Los atacantes están explotando la tecnología de enlaces seguros de Cisco, diseñada para proteger a los usuarios de las URL maliciosas, para evadir los sistemas de detección y evitar filtros de red al aprovechar la confianza asociada con la marca de seguridad de Cisco.
Control de llave
1. Los atacantes usan enlaces seguros de Cisco legítimos para ocultar URL maliciosas, explotando la reputación confiable de Cisco.
2. Los sistemas de seguridad confían en los dominios de Cisco, permitiendo URL envueltas maliciosas a través de filtros.
3. AI consciente de contexto detecta estos ataques a través del análisis conductual.
Convertir las herramientas de seguridad en armas
Según el análisis de Raven AI, el vector de ataque explota los enlaces Safe Cisco, un componente de la puerta de enlace de correo electrónico segura de Cisco y el suite de seguridad web que reescribe URL sospechosas en los correos electrónicos, enrutando los clics a través de la infraestructura de escaneo de Cisco en Secure-Web.cisco (.) Com.
Los atacantes han descubierto múltiples métodos para generar enlaces seguros de Cisco legítimos para fines maliciosos.
Correo electrónico de phishing
Las técnicas principales incluyen comprometer cuentas dentro de las organizaciones protegidas por Cisco para generar enlaces seguros mediante un correo electrónico a URL maliciosas, explotando servicios en la nube que envían correos electrónicos a través de entornos protegidos por Cisco y reciclaje de enlaces seguros generados previamente de campañas anteriores.
Cuando los usuarios ven las URL que comienzan con Secure-Web (.) Cisco.com, confían instintivamente el enlace debido a la reputación de Cisco en ciberseguridad, creando lo que los investigadores llaman “confianza por asociación”.
El ataque pasa por alto las puertas de seguridad de correo electrónico tradicionales porque muchos sistemas centran su análisis en dominios visibles en URL.
Cuando el dominio se muestra como Secure-Web.cisco (.) Com, a menudo pasa a través de filtros que de otro modo marcarían contenido sospechoso.
Además, los atacantes explotan la brecha de tiempo entre cuando surgen nuevas amenazas y cuando los sistemas de inteligencia de amenazas de Cisco pueden identificarlas y clasificarlas como maliciosas.
Las soluciones de seguridad tradicionales luchan con estos ataques porque parecen legítimos en cada nivel técnico.
Los elementos maliciosos están ocultos en los patrones de contexto y de comportamiento en lugar de indicadores técnicos obvios.
Ejemplos recientes detectado Por Raven AI incluyó correos electrónicos de “solicitud de revisión de documentos” de aspecto profesional de los supuestos servicios de firma electrónica, completos con una marca adecuada y terminología comercial.
Armado
La inteligencia artificial consciente de Raven AI identificó con éxito estos ataques al analizar múltiples señales simultáneamente, incluidas las identidades inconsistentes del remitente, la estructura de URL sospechosa con parámetros codificados y patrones de solicitud de documentos comúnmente utilizados en el phishing de credenciales.
La capacidad del sistema para comprender los flujos de trabajo comerciales legítimos le permite identificar cuándo las comunicaciones se desvían de los patrones esperados, incluso cuando parecen elaborados profesionalmente.
Esto representa un cambio fundamental en las amenazas de ciberseguridad, donde los atacantes explotan la psicología humana y los procesos comerciales en lugar de solo las vulnerabilidades técnicas.
La arma de la infraestructura de seguridad de confianza como los enlaces seguros de Cisco demuestra la necesidad de sistemas avanzados de detección de contexto que pueden identificar ataques basados en patrones de intención y comportamiento en lugar de depender únicamente de la reputación del dominio y los métodos de detección basados en la firma.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
