Los atacantes fingen ser DoT en una estafa de phishing de dos días - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los atacantes fingen ser DoT en una estafa de phishing de dos días

Hola de nuevo. Yo soy Eduardo Arroyo y en el día de hoy te voy a hablar sobre Los atacantes fingen ser DoT en una estafa de phishing de dos días

Los atacantes fingen ser DoT en una estafa de phishing de dos días

Los actores de la amenaza colgaron el atractivo de recibir fondos del proyecto de ley de infraestructura de $ 1 billón y crearon nuevos dominios que imitan el sitio federal real.

Los actores de la amenaza se hicieron pasar por el Departamento de Transporte de los Estados Unidos (USDOT) en una campaña de phishing de dos días que utilizó una combinación de tácticas, incluida la creación de nuevos dominios que imitan los sitios federales para parecer legítimos y evadir las detecciones de seguridad.

Entre el 16 y el 18 de agosto, los investigadores del proveedor de seguridad de correo electrónico INKY detectaron 41 correos electrónicos de phishing que llevaban a licitar proyectos que se beneficiaban de un paquete de infraestructura de 1 billón de dólares aprobado recientemente por el Congreso, según un informe escrito por Roger Kay de INKY, vicepresidente de estrategia de seguridad, que se publicó el miércoles.

La campaña, que se dirigió a empresas de industrias como la ingeniería, la energía y la arquitectura que probablemente trabajarían con el USDOT, envía a las posibles víctimas un correo electrónico inicial diciéndoles que el USDOT las está invitando a ofertar por un proyecto del departamento haciendo clic en un botón azul grande con las palabras «Haga clic aquí para ofertar».

Los correos electrónicos en sí se lanzan desde un dominio, transportgov[.]net, que fue registrado por Amazon el 16 de agosto, dijo Kay. La fecha de su creación, revelada por WHOIS, parece indicar que el sitio fue creado específicamente para la campaña de phishing.

Para cualquiera que esté familiarizado con los sitios gubernamentales, el dominio parecería sospechoso, ya que los sitios gubernamentales suelen tener un sufijo .gov. Sin embargo, «para alguien que lee rápido, el nombre de dominio podría parecer al menos en algún lugar del campo de béisbol de la realidad», señaló Kay.

Objetivos engañados

Si las personas muerden y hacen clic, se las dirige a un sitio, transport.gov.bidprocure.secure.akjackpot[.]com, «con subdominios que suenan tranquilizadores como ‘transporte’, ‘gov’ y ‘seguro'», escribió Kay. Sin embargo, el dominio base del sitio, akjackpot[.]com, en realidad se registró en 2019 y «alberga lo que puede ser o no un casino Online que parece atender a los malasios», escribió.

«O el sitio ha sido secuestrado, o los dueños del sitio son ellos mismos los phishers que lo usaron para hacerse pasar por el USDOT», señaló Kay.

Una vez en el sitio de ofertas falsas, se les indica a los destinatarios que hagan clic en el botón «Oferta» e inicien sesión con su proveedor de correo electrónico para conectarse a la «red». También les ordenó que se pusieran en contacto con una persona ficticia en otro dominio falso, específicamente, mike.reynolds@transportationgov[.]nosotros – con cualquier pregunta.

Una vez que se cerraron las instrucciones, las víctimas fueron dirigidas a una copia idéntica del sitio web real del USDOT que los atacantes crearon al copiar HTML y CSS del sitio del gobierno a su sitio de phishing.

En un giro, los actores de amenazas también copiaron y pegaron una advertencia real sobre cómo verificar sitios reales del gobierno de los EE. UU., Lo que podría alertar a las víctimas inteligentes de que fueron estafados al darse cuenta de que el dominio del sitio de phishing terminaba en. Com en lugar de .gov o. millones, señaló Kay.

Una vez en el sitio de impostores del USDOT, se alienta a los objetivos a hacer clic en el botón rojo «Haga clic aquí para ofertar» que muestra un formulario de recopilación de credenciales con un logotipo de Microsoft e instrucciones para «Iniciar sesión con su proveedor de correo electrónico». Un primer intento de ingresar credenciales se encuentra con un desafío ReCAPTCHA, a menudo utilizado por sitios legítimos como un dispositivo de seguridad adicional. Sin embargo, los atacantes ya han adquirido las credenciales en este punto, señaló Kay.

Si los objetivos hacen un segundo intento de ingresar las credenciales, se muestra un mensaje de error falso, luego de lo cual se les dirige al sitio web real del USDOT: «una operación elegante pero quizás innecesaria que los phishers a menudo realizan como el paso final en su secuencia», escribió. Kay.

Evadir la detección

Si bien los atacantes no utilizaron ningún truco de phishing nuevo en particular en su campaña, fue la combinación de tácticas en un nuevo esquema lo que les permitió obtener sus correos electrónicos a través de pasarelas de correo electrónico seguras, dijo Kay.

«Al crear un nuevo dominio, aprovechar los eventos actuales, hacerse pasar por una marca conocida e iniciar una operación de recopilación de credenciales, los phishers han ideado un ataque lo suficientemente diferente de los ataques conocidos como para eludir los métodos de detección estándar», escribió.

El uso de dominios recién creados, en particular, permitió que los correos electrónicos de phishing pasaran por la autenticación de correo electrónico estándar, como SPF, DKIM y DMARC, señaló.

“Como eran completamente nuevos, los dominios representaban vulnerabilidades de día cero; nunca se habían visto antes y no aparecían en las fuentes de información de amenazas a las que comúnmente se refieren las herramientas anti-phishing heredadas «, escribió Kay.» Sin imperfecciones, estos sitios no parecían maliciosos.

Es hora de convertir la caza de amenazas en una búsqueda de adversarios. PALO Threatpost y Cybersixgill para Caza de amenazas para capturar oponentes, no solo para detener ataques y obtenga una visita guiada por la web oscura y aprenda a rastrear a los actores de amenazas antes de su próximo ataque. SUSCRÍBASE AHORA para una discusión EN VIVO el 22 de septiembre a las 2 pm EST con Sumukh Tendulkar y Edan Cohen de Cybersixgill, junto con el investigador de vCISO Chris Roberts y la presentadora de Threatpost Becky Bracken.

.

Deberías compartir en tus redes sociales para que tus amigos lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *