Por: Brad Haas
A principios de 2023, un número cada vez viejo de URL de phishing de credenciales en correos electrónicos informados al Centro de defensa contra el phishing (PDC) de Cofense incluyeron una dependencia única que muestra que fueron producidos por un software permitido de boletines por correo electrónico llamado SuperMailer. La inclusión de la dependencia es un error que cometieron los actores de amenazas al crear sus plantillas de correo electrónico en SuperMailer. El error ocurrió en un pequeño subconjunto de lo que se convirtió en una campaña de phishing de credenciales de gran pandeo. Al combinar las funciones de personalización y las capacidades de remesa de SuperMailer con tácticas de diversión de puerta de enlace de correo electrónico seguro (SEG), los actores de amenazas detrás de la campaña han entregado correos electrónicos personalizados y de aspecto permitido a bandejas de entrada que abarcan todas las industrias.
Puntos secreto
- Esta actividad de amenaza emplea extralimitación de redirección abierta, remitentes de correo electrónico variados y aleatorización de URL para eludir las medidas de seguridad del correo electrónico.
- El pandeo mensual de esta actividad se duplicó con creces en tres de los últimos cuatro meses.
- Desde mayo de 2023 hasta la aniversario, representa el 14 % del phishing de credenciales descubierto por Cofense (PDC) en entornos protegidos por una variedad de SEG, incluidos Proofpoint, Microsoft ATP, Cisco Ironport, Mimecast, Fortinet y TrendMicro.
- Las campañas adentro de este conjunto de actividades se han dirigido ampliamente a una amplia abanico de industrias, que incluyen construcción, beneficios de consumo, energía, servicios financieros, servicio de alimentos, gobierno, atención médica, información y descomposición, seguros, manufactura, medios, minería, servicios profesionales, comercio minorista, tecnología. , transporte y servicios públicos.
Encima de ser una amenaza flagrante prolífica, la campaña analizada en este mensaje es un estudio de caso en la transformación constante del panorama de amenazas de phishing. Los actores de amenazas detrás de la campaña encontraron una combinación cómodo de tácticas, la refinaron y la ampliaron, todo en cuestión de semanas. El hecho de que los correos electrónicos lleguen a los usuarios de modo tan constante subraya la importancia de la conciencia del agraciado y de un software de seguridad de correo electrónico sólido e impulsado por la inteligencia.
El pandeo comenzó bajo, luego se disparó en mayo
Los correos electrónicos generados por SuperMailer han estado llegando a las bandejas de entrada en un pandeo cada vez más trascendente. Los correos electrónicos que contenían la dependencia SuperMailer única casi nada se registraron en enero y febrero, pero en la primera quincena de mayo representaron más del 5% de los correos electrónicos de phishing de credenciales informados por los clientes de Cofense PDC.
Figura 1: Correos electrónicos que contienen el error que los identifica como generados por SuperMailer, como parte de todos los correos electrónicos de phishing de credenciales informados por PDC hasta el 15 de mayo de 2023.
Identificamos otros indicadores únicos en los correos electrónicos que contenían el error y ampliamos nuestra búsqueda para incluir esos indicadores. En otras palabras, ¿cuántos correos electrónicos de estos correos electrónicos no contienen errores y están llegando a los usuarios? El pandeo sigue la misma trayectoria militar, pero se disparó en la primera quincena de mayo y comprende más del 14 % de todos los correos electrónicos de phishing de credenciales informados durante el mes hasta la aniversario.
Figura 2: Correos electrónicos con IOC que coinciden con los correos electrónicos que contienen el error de SuperMailer, como parte de todos los correos electrónicos de phishing de credenciales informados por PDC hasta el 15 de mayo de 2023.
La orientación parece ser lo más amplia posible; estos correos electrónicos llegan a usuarios de organizaciones de todos los sectores. La mayoría, si no todos, los correos electrónicos utilizan las mismas tácticas, lo que sugiere que un solo actor de amenazas es responsable de las campañas.
Las características principales de SuperMailer son atractivas para los actores de amenazas de phishing
SuperMailer es una aplicación de escritorio comercial que se anuncia a sí misma como un “software de boletines HTML de correo electrónico para crear y expedir boletines y correos electrónicos masivos personalizados”. El ritmo cada vez viejo de la campaña generada por SuperMailer a pesar de los errores ocasionales sugiere que los actores de amenazas encuentran un gran valencia en ella. Investigamos a SuperMailer para descubrir qué lo haría tan atractivo para los actores de amenazas y descubrimos que incluye varias funciones que son aperos no solo para los operadores legítimos de listas de correo electrónico, sino asimismo para los actores de amenazas que envían campañas de phishing:
- Campos de grabador de posición que permiten correos electrónicos personalizados con el nombre del agraciado objetivo, la estructura u otros detalles.
- Un editor de “lo que ves es lo que obtienes” facilita la procreación de correos electrónicos HTML visualmente atractivos que pueden parecer más legítimos.
- El remesa de correo electrónico multiproceso permite la transmisión rápida de miles de correos electrónicos.
- La compatibilidad con varios sistemas de correo electrónico permite a los actores de amenazas distribuir su operación de remesa a través de múltiples servicios, minimizando el impacto si alguno está bloqueado o deshabilitado.
Figura 3: Captura de pantalla de ejemplo del sitio web de SuperMailer.
Aprovecharse de software y servicios legítimos para expedir correos electrónicos maliciosos no es una táctica rara ni nueva. Pero las campañas recientes de SuperMailer destacan su utilidad en el cantera de un actor de amenazas de phishing, y la frecuencia con la que se han descubierto estos correos electrónicos en las bandejas de entrada demuestra una tasa de éxito extremadamente incorporación.
La campaña combina la personalización de SuperMailer y las tácticas de diversión de SEG
Las plantillas de SuperMailer y otras funciones permiten expedir correos electrónicos de phishing personalizados y perfectamente elaborados, que tienen una viejo probabilidad de engañar al destinatario. En las campañas recientes que analizamos, los actores de amenazas utilizaron varios campos personalizables:
- detalles del destinatario: nombre, patronímico, dirección de correo electrónico, nombre de agraciado
- detalles de la estructura: nombre, dominio
- aniversario y hora flagrante o nuevo
Figura 4: un correo electrónico personalizado con la dirección de correo electrónico del destinatario (redactada) y la aniversario flagrante en el asunto.
Encima de la personalización, los actores de amenazas están utilizando temas de correo electrónico perfectamente establecidos, incluida la notificación de vencimiento de contraseña, documentos de un escáner o servicio de firma y facturas vencidas o notificaciones de suscripción. Vemos los mismos temas con asaz frecuencia en otras campañas de phishing de credenciales, así como en campañas de malware, lo que sugiere que tienen la viejo probabilidad de que el destinatario haga clic en un enlace astuto. En el caso de las campañas recientes, los actores de amenazas buscan las credenciales de inicio de sesión de Microsoft.
Figura 5: El formulario de inicio de sesión falsificado en una de las páginas de phishing de las campañas recientes.
Por supuesto, un correo electrónico de phishing debe datar a la bandeja de entrada del destinatario ayer de que pueda engañarlo. Con ese fin, las campañas recientes generadas por SuperMailer están utilizando algunas tácticas diferentes para evitar la detección por parte de los SEG y otras medidas de seguridad:
- Exceso de redirección abierta se aprovecha de páginas web legítimas que automáticamente redirigir a unel URL incluida como parámetro. Si un SEG no sigue el redirigir, sólo comprobará el contenido o reputación del sitio web permitido. Aunque los redireccionamientos abiertos son generalmente considerado ser una cariñoa menudo se pueden encontrar incluso en sitios de parada perfil. Por ejemplo, las campañas que analizamos utilizaron una redirección abierta en YouTube.
- Remitentes de correo electrónico variados disminuir el peligro de que un SEG o un servidor de correo electrónico empinado clasifique los correos electrónicos como no deseados conveniente a su reputación. Los encabezados de los correos electrónicos que analizamos indican una variedad de orígenes, incluidas cuentas de correo electrónico regulares, scripts en servidores web e incluso servicios de correo electrónico dedicados. Es probable que los actores de amenazas tengan llegada a una variedad de cuentas comprometidas, y usan las funciones de remesa de SuperMailer para rotar entre ellas.
- Aleatorización de URL hace que sea más difícil detectar correos electrónicos maliciosos basados en listas de incomunicación o patrones de URL. Las páginas de phishing de los actores de amenazas están configuradas para funcionar sin importar qué dependencia se incluya en ciertas partes de la URL.
- Cadenas de respuesta adjunto a algunos de los correos electrónicos puede hacer que sea más probable que pasen la evaluación de SEG o que parezcan legítimos para los destinatarios. Las cadenas de respuesta no son específicas para el destinatario individual ni se las roban a sus contactos; más perfectamente, los actores de amenazas usan una plantilla de dependencia de respuesta para muchos destinatarios diferentes.
Aunque fue un error de codificación lo que nos llevó a investigar esta campaña, la combinación de tácticas muestra que debe tomarse en serio como una amenaza sofisticada.
panorama
No estamos seguros de cuánto tiempo continuarán los correos electrónicos de phishing con estas características sin acontecer por los SEG y llegando a las bandejas de entrada. Sin bloqueo, la trayectoria flagrante es preocupante. A medida que más correos electrónicos de phishing llegan a las bandejas de entrada, aumentan las posibilidades de que los usuarios se vean comprometidos por esos correos electrónicos.