Los primeros pasos en los correos electrónicos de phishing tradicionales se han mantenido iguales durante décadas; el correo electrónico contendrá una URL maliciosa o un archivo adjunto. Sin incautación, en los últimos abriles, las URL incrustadas en correos electrónicos de phishing como un medio original para involucrar a la víctima objetivo han llegado a esa víctima objetivo a una tasa mucho veterano que los archivos adjuntos utilizados con el mismo propósito. Nuestros datos del año pasado muestran que el dominio de las URL sobre los archivos adjuntos continuó en 2022 por varias razones, incluidos los dominios confiables abusables, los servicios gratuitos en la web que brindan infraestructura de phishing y los bienes evasivos de los redireccionamientos.
Detención porcentaje de phishing basado en URL asociado con CredPhish
Esta tendencia continua de dominio basado en URL ocurre entre los correos electrónicos de phishing que llegan a organizaciones de nivel empresarial, muchas de las cuales están protegidas por puertas de enlace de correo electrónico seguras (SEG) de detención perfil.
Figura 1: Porcentaje de correos electrónicos de phishing basados en URL y en archivos adjuntos datar a las bandejas de entrada en 2021 y 2022
Hay varias razones posibles por las que los correos electrónicos de phishing basados en URL pueden escapar a la detección de SEG más fácilmente que los correos electrónicos basados en archivos adjuntos. Las URL pueden tener un nivel de confianza inherente si se abusa de los dominios de confianza; Los SEG pueden ser mejores para identificar archivos maliciosos que las URL; un gran porcentaje de correos electrónicos de marketing benignos contienen URL de fuentes desconocidas y, por lo tanto, son difíciles de diferenciar de las URL maliciosas de fuentes desconocidas. Más allá del SEG, los actores de amenazas tienen aún más razones para usar URL, ya que los usuarios en el entorno de trabajo flagrante pueden sentirse más cómodos interactuando con un enlace desconocido que con un archivo adjunto desconocido. Los dos gráficos de la Figura 1 muestran que la proporción de correos electrónicos de phishing basados en URL no cambió significativamente entre 2021 y 2022, pero continúa superando el uso efectivo de archivos adjuntos por un cifra de cuatro. El uso de archivos adjuntos aumentó su billete en el total en aproximadamente un tres por ciento.
Los correos electrónicos de phishing tradicionales generalmente tienen el objetivo de robar credenciales o entregar malware. Los archivos adjuntos y las URL incrustadas se pueden usar para cualquiera de estos objetivos. La Figura 2 muestra que, a pesar de que los correos electrónicos de entrega de malware hacen un veterano uso de los archivos adjuntos como método de billete que los correos electrónicos de phishing de credenciales, los dos se inician principalmente mediante una URL incrustada.
Figura 2: Comparación de 2022 de enlaces y archivos adjuntos maliciosos utilizados para el phishing de credenciales y la entrega de malware.
En caudillo, esperamos ver un veterano porcentaje de URL con suplantación de identidad de credenciales. Esto se debe principalmente al hecho de que la mayoría de las variantes de phishing de credenciales ya requieren el uso de URL. Phishing-as-a-Service y otros kits de phish preconstruidos comercializados a menudo favorecen el uso de URL. Sin incautación, el uso de archivos adjuntos sigue siendo asaz global, y los tipos de archivos como HTML y PDF se encuentran entre los más comunes en los archivos adjuntos de correo electrónico de phishing de credenciales.
Como se señaló, el uso de archivos adjuntos en la entrega de malware es más prominente que lo que vemos en las campañas de phishing de credenciales. Es probable que esto se deba a que la mayoría de las entregas de malware ya requieren el uso de archivos como carga útil final, lo que significa que el actor de amenazas ya está poco familiarizado con el uso de archivos. Además es muy global que los actores de amenazas que intentan entregar malware incluyan sus archivos maliciosos en archivos ZIP protegidos con contraseña que pueden interrumpir el investigación SEG. Esto se suma a la cantidad de correos electrónicos de phishing que vemos que llegan a los usuarios finales. Adicionalmente, se sabe que algunas de las familias de malware más avanzadas que se difunden a gran escalera, como QakBot y Emotet, usan archivos adjuntos en sus correos electrónicos, pero todavía emplean el uso de URL incrustadas.
URL de phishing y sus tácticas evasivas
Las URL de phishing son actualmente el método de billete más popular utilizado en los correos electrónicos de phishing que llegan a las bandejas de entrada. Las tácticas de phishing que emplean los actores de amenazas que son conocidos por eludir la infraestructura de seguridad del correo electrónico contribuyen a esto. Las URL de phishing que llegan a los usuarios finales utilizan con frecuencia una de las siguientes tácticas en las URL incrustadas (aunque todavía existen otras tácticas):
- Dominios de confianza: los actores de amenazas a menudo abusan de los servicios de confianza, como los servicios en la cirro, para introducir contenido pillo. Esto significa que sus sitios de phishing estarán en dominios que los usuarios finales y la infraestructura de seguridad, como los SEG, consideran confiables. Los correos electrónicos de phishing que abusan de estos servicios a menudo logran datar a los objetivos previstos, ya que estos dominios no se pueden cercar por completo.
- Servicios Abiertamente Disponibles – Actores de amenazas a menudo agenciárselas servicios gratuitos o baratos para excederse interiormente de sus campañas de phishing. A menudo, esto puede incluso dar extensión a que sus URL todavía tengan un dominio de confianza. Cualquier plataforma de alojamiento gratuita o trueque corre el peligro de ser abusada por actores de amenazas que buscan una forma trueque de
- Múltiples redireccionamientos: es una táctica global que la URL incrustada en el correo electrónico de phishing no sea la primera etapa del ataque de phishing. Mediante el uso de múltiples redirecciones y la creación de una condena de URL maliciosas para analizar, los actores de amenazas a menudo pueden tener suficientes redirecciones desde el original URL de la final página que se usa directamente para descargar malware o robar credenciales que una DECIR mayo detener el investigación antiguamente de datar a él.
Monograma 3: Ejemplo de a correo electrónico de phishing utilizando un enlace pillo.
Adjuntos maliciosos configurados para datar a las bandejas de entrada
Hay muchas tácticas potenciales que se pueden invertir para usar archivos adjuntos maliciosos interiormente de los correos electrónicos de phishing. Los archivos adjuntos maliciosos tienen una gran variedad de usos, incluida la convento directa de credenciales, contener otros archivos maliciosos que han sido comprimidos, redirigir a una URL de phishing y realizar como un descargador de malware de primera etapa, entre muchas otras posibilidades. Adicionalmente, el tipo de archivo adjunto utilizado a menudo depende de la amenaza que se entregue. Algunas de las tácticas más comunes que vemos en los correos electrónicos de phishing que contienen un archivo adjunto pillo son:
- Archivos protegidos con contraseña: es global que los actores de amenazas usen archivos protegidos con contraseña, como un archivo ZIP, para eludir la seguridad y datar a los objetivos previstos. La emocion es conocido por usar esta táctica y, a menudo, difunde una gran cantidad de correos electrónicos con archivos maliciosos de Office comprimidos en archivos ZIP protegidos con contraseña. La contraseña a menudo se encuentra en áreas de acomodaticio golpe para que el objetivo previsto la encuentre, tal en como el cuerpo del correo electrónico.
- Archivos adjuntos desconocidos: actores de amenazas frecuentemente busque nuevos tipos de archivos adjuntos que puedan ser desconocidos para los investigadores de seguridad y tenga la posibilidad de eludir los SEG. La mayoría de los SEG capturarán y bloquearán fácilmente un archivo ejecutable pillo adjunto directamente adecuado a la naturaleza simplista y obvia de la amenaza. Sin incautación, los actores de amenazas son conscientes de esto. y recientemente hemos manido QakBot Los operadores envían archivos .ONE adjuntos directamente que parecen escamotear el recuento de la SEG.
- codificarArchivos editados: la codificación de archivos es una modo popular De creación pillo archivos adjuntos difíciles analizar. Los archivos HTML son un muy popular tipo de archivo para que los actores de amenazas codifiquen, pero la codificación es una táctica global que se ve en una variedad de tipos de archivos.
Monograma 4: Ejemplo de a correo electrónico de phishing usando a archivo adjunto pillo.