Ha surgido una sofisticada campaña de phishing de lanza dirigida a altos ejecutivos y personal de C-suite en múltiples industrias, aprovechando a Microsoft Onedrive como el vector de ataque principal.
La campaña utiliza correos electrónicos cuidadosamente diseñados disfrazados de comunicaciones internas de recursos humanos sobre enmiendas salariales para engañar a los objetivos de alto perfil para que entreguen sus credenciales corporativas.
Esta última amenaza representa una escalada preocupante en las tácticas de ingeniería social, combinando contenido personalizado con técnicas de evasión avanzada para evitar las medidas de seguridad tradicionales.
Los atacantes emplean un enfoque metódico, comenzando con el “calentamiento” de las bandejas de entrada del destinatario enviando correos electrónicos preliminares benignos días antes de lanzar el intento real de phishing.
Correo electrónico Contenido del cuerpo (Fuente – Stripe OLT)
Los correos electrónicos maliciosos presentan líneas de asunto que contienen referencias “enmienda salarial” o “FIN_SALARY” y aparecen como notificaciones legítimas para compartir documentos.
Cada mensaje está meticulosamente personalizado con el nombre del destinatario y los detalles de la compañía, mejorando significativamente la credibilidad y la probabilidad de éxito de la campaña.
Analistas de rayas olt identificado Esta campaña al monitorear las actividades del panorama de amenazas, descubriendo que los atacantes están utilizando la infraestructura del Servicio de Correo de correo electrónico simple (SES) de Amazon para la entrega mientras giran a través de aproximadamente 80 dominios y subdominios diferentes para evadir la detección.
Página de phishing de credencial (fuente – stripe olt)
La infraestructura de phishing abarca múltiples proveedores de servicios, incluidos CloudFlare para Servicios DNS, Akamai Cloud para el alojamiento y principalmente Mat Bao Corporation para el registro de dominios, lo que demuestra el sofisticado enfoque de seguridad operativa de la campaña.
Técnicas de evasión avanzadas
La campaña emplea mecanismos anti-detección particularmente inteligentes que explotan las diferencias de visualización del cliente de correo electrónico. Cuando se ve en el modo de luz estándar, los botones de correo electrónico aparecen como etiquetas inocuas de “abrir” y “compartir”.
Sin embargo, el cambio al modo oscuro revela un relleno oculto que contiene cadenas alfanuméricas aleatorias como “Twpopenhuxv” y “Gqshareojxyl” que fragmentan las palabras desencadenantes de alto valor, eludir efectivamente las reglas de detección basadas en una cuerda empleadas por puertas de correo electrónico seguras.
La página de recolección de credenciales presenta una interfaz de inicio de sesión de Microsoft Office/OneDrive convincente que solicita detalles de autenticación bajo la pretensión de acceder a un documento salarial seguro.
Estas URL de phishing están diseñadas para el acceso de un solo uso, automáticamente autodestruirse después de ser visitados para eliminar la evidencia forense y complicar los esfuerzos de respuesta a incidentes.
Los equipos de seguridad pueden implementar consultas de caza específicas para identificar posibles intentos de compromiso.
La siguiente consulta KQL puede detectar correos electrónicos que coinciden con los patrones de sujetos observados:-
ELECHEVENTES | donde el sujeto contiene “fin_salary” | Donde correo electrónicoDirection == “entrante” | marca de tiempo del proyecto, destinatario.
Las organizaciones deben bloquear inmediatamente los dominios maliciosos identificados, incluidos LetzDoc.com, HR-Fildoc.com y Docutransit.com al implementar una capacitación de concientización mejorada específicamente dirigida a los ejecutivos y su personal administrativo que siguen siendo objetivos principales para estos ataques sofisticados.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
