Los investigadores de Proofpoint observaron una campaña de phishing a fines de julio que continúa hasta ahora (con ciertos aspectos que estuvieron activos muchos meses antes), que parece apuntar a individuos específicos en una variedad de organizaciones que usan el formato de marca y transacción de correo electrónico de DocuSign.
Las páginas de destino de la campaña están alojadas en el almacenamiento en la nube pública de Amazon (S3), que es una práctica bastante poco común entre los actores (ciberdelincuentes) de phishing monitoreados por Proofpoint.
Si bien es relativamente poco común, Proofpoint también ha documentado a los actores de amenazas que utilizan otra infraestructura de nube pública de clase empresarial para tales fines, incluido el abuso reciente del servicio GitHub de Microsoft y un esquema de phishing de credenciales que aprovecha el almacenamiento de blobs de Microsoft Azure.
ANÁLISIS
A continuación se muestra un ejemplo redactado de la plantilla de correo electrónico que utiliza la marca DocuSign robada que los actores (ciberdelincuentes) enviaron a un pequeño número de personas en una variedad de compañías, sin una orientación vertical particular. Visualmente, aparece como un señuelo de phishing bastante estándar para documentos que pretenden ser compartidos a través de DocuSign:
Figura: Plantilla de correo electrónico malicioso enviado con la marca de DocuSign robada.
Si bien la página de inicio para el phishing de credenciales también se parece convincentemente a DocuSign en branding y formato general, en realidad es una plantilla de phishing que se ha utilizado comúnmente en los últimos años:
Figura: Marca de DocuSign robada y elementos visuales utilizados en una página de inicio de phishing.
La página de destino se alojó en Amazon S3, que, como se señaló, sigue siendo bastante poco común. Este ejemplo particular se encuentra en:
https://s3.us-east-2.amazonaws [.] com/docusign.0rwlhngl7x1w6fktk0xh8m0qhdx4wnbzz1w/t993zTVQwqXuQLxkegfz1CAUtcrGfe0bRm0V2Cn/eeu69zk7KqAmofMrHr6xrWgrKUoTrOn2BJhhnQg/eAzUroFtr7Gw9JrkWkX9.html
INFORMACIÓN DE LA CAMPAÑA
El actor que participa en esta actividad no es nuevo en el alojamiento en AWS, como lo hemos observado en campañas similares de bajo volumen durante todo el año. Todos los dominios que no son de AWS han utilizado los certificados TLS "Let's Encrypt", y la mayoría parecen estar registrados en los servicios de registro de dominios rusos. Si bien todo el phishing se alojó en AWS durante este período, en algunos casos el actor utilizó otra infraestructura de nube pública para alojar recursos específicos para las páginas de destino.
Para leer el informe completo ver el estudio de Proofpoint:
ESTRATEGIA DE CIBERSEGURIDAD
Security Awareness Services, es parte de nuestra “Estrategia de Ciberseguridad”basada en tres fases: Ethical Hacker, Security Awareness, Security Solutions & Services. Servicios que son entregados por consultores en ciberseguridad con años de experiencia y conocimiento en el concepto Human Hacking.
SIMULACIÓN Y ENTRENAMIENTO
A través de un programa y con apoyo de una plataforma cloud podemos simular, capacitar y entrenar a los usuarios que son el eslabón mas débil de una organización, en temas de concientización sobre seguridad y suplantación de identidad. Mediante campañas programadas podemos ejecutar diversos métodos de ataque tales como: phishing, spear phishing, usb, ransomware e social engineering.
METODOLOGÍA CONCIENTIZACIÓN
Nuestra metodología está basada en tres niveles de concientización con acceso a charlas presenciales, plataforma e-learning y simuladores de ataques:
Charlas de Concientización de Seguridad.
Programa Learning de Seguridad.
Plataforma de Simulación y Concientización Organizacional
PROGRAMA DE CIBERSEGURIDAD
01 Charlas de Concientización de Seguridad:
Phishing user N1.
CEO Spoofing user N2.
02 Programa eLearning de Seguridad:
Fraude al CEO (spoofing).
Ransomware / Phishing / Ingeniería.
Contraseñas seguras.
Dispositivos móviles.
Navegación web
03 Plataforma de Simulación y Concientización Organizacional:
Aprendizaje interactivo.
Conceptos de seguridad.
Entrenar a los usuarios.
Simulador de ransomware / phishing.
Revisión de objetivos.
Human firewall.
Fuente: Proofpoint, Inntesec