Opuesto en entornos protegidos por:
Cisco Iron Port, Microsoft
Por Emmett Smith, Centro de Defensa Contra Phishing de Cofense
Las subvenciones del gobierno brindan oportunidades únicas para que las empresas proporcionen los medios para volver si es necesario. Recientemente, analistas del Cofense Phishing Defense Center (PDC) han observado una campaña de phishing que intenta hacerse tener lugar por la Agencia de Pequeñas Empresas (SBA) de EE. UU. y ofrece estas subvenciones con la esperanza de que determinado desafortunado proporcione sus credenciales.
Figura 1: Cuerpo del correo electrónico
La Figura 1 muestra que el cuerpo del correo electrónico es sobrado liberal y contiene una marca que recuerda a la SBA. El actor de amenazas falsificó una dirección de correo electrónico aparentemente legítima, [email protected]lo que podría ser lo suficientemente bueno como para engañar al destinatario si no presta suficiente atención. Mirando más de cerca el cuerpo del correo electrónico, lo más probable es que el autor de la amenaza extrajo este correo electrónico de una bandeja de entrada legítima y lo reutilizó para su campaña. El correo electrónico contiene la dirección legítima de una oficina de distrito en George. Con esto, además hay una tira de cosas que el sucesor deberá comprobar y la información que deberá proporcionar si desea solicitar la subvención ilegítima. Adjunto al correo electrónico hay un archivo PDF que contiene un enlace al sitio de phishing.
Figura 2: Página de phishing
La figura 2 muestra una página que parece legítima para la SBA, muy probablemente falsificada de la página legítima de préstamos de la SBA. La dirección URL comparte el mismo trazo que la dirección de correo electrónico previo en el sentido de que está lo suficientemente acertadamente diseñada como para que, si el sucesor no presta suficiente atención, no se dé cuenta de que es una URL ilegítima. El texto en la página en sí ofrece un poco de información sobre el propósito de la página, y en la esquinazo superior derecha hay un enlace para iniciar sesión.
Figura 3: Página de phishing
El renuevo de inicio de sesión de la página previo conduce al de figura 3. Al comparar las dos URL, el dominio no cambió. El actor de amenazas incluso mantuvo el mismo fondo oscuro, marca e información en la parte inferior de la página. Incluyeron muchos de los utensilios de formato del sitio seguro para aumentar la confianza del destinatario que solicita la subvención falsa.
Una subvención puede ser una propuesta muy tentadora para un individuo o una empresa. Cualquier plan que ofrezca metálico despertaría el interés de cualquiera. Con la táctica y las técnicas de diseño que implementó el actor de amenazas, esta campaña puede ser aún más peligrosa. A pesar de estos trucos, los analistas del Centro de Defensa contra el Phishing (PDC) de Cofense pudieron detectar este phishing y congratular protección. Si desea obtener más información sobre cómo el PDC puede salvarlo, contáctenos.
| Indicadores de compromiso | IP |
|---|---|
| hxxps://sbagrant[.]información/subvención | 95.217.36.56 |
| hxxps://sbagrantaciones[.]live/sba/grant8349784948e1/requests/borrower/login/index067e.html | 66.206.4.66 |
Todas las marcas comerciales de terceros a las que hace remisión Cofense, ya sea en forma de logotipo, de nombre o de producto, o de otro modo, siguen siendo propiedad de sus respectivos propietarios, y el uso de estas marcas comerciales de ninguna forma indica relación alguna entre Cofense y los propietarios de las marcas comerciales. Cualquier observación contenida en este blog con respecto a la elusión de las protecciones de punto final se plinto en observaciones en un punto en el tiempo basado en un conjunto específico de configuraciones del sistema. Las actualizaciones posteriores o diferentes configuraciones pueden ser efectivas para detener estas amenazas u otras similares. El rendimiento pasado no es indicativo de resultados futuros.
Los nombres y logotipos de Cofense® y PhishMe®, así como cualquier otro nombre o logotipo de producto o servicio de Cofense que se muestre en este blog son marcas registradas o marcas comerciales de Cofense Inc.
