Ataque de phishing emergente en el ciberespacio de Bangladesh

Resumen de Actividad de Phishing (12 de enero de 2025)

Contexto General:
En los últimos tiempos, se ha observado un incremento en los ataques de phishing dirigidos a organizaciones gubernamentales, agencias de aplicación de la ley e instituciones educativas. Estos ataques, que intentan robar información confidencial, utilizan correos electrónicos que se hacen pasar por comunicaciones oficiales, aprovechando archivos adjuntos y enlaces maliciosos. Este aviso tiene como objetivo informar sobre las características de estos correos, los indicadores de compromiso (IoC) y las reglas de detección recomendadas para mejorar la seguridad.

Sectores Afectados:

• Organizaciones gubernamentales
• Agencias de aplicación de la ley
• Instituciones educativas

Detalles del Correo Electrónico de Phishing:

1. Asunto y Remitente:

   • Las líneas de asunto simulan notificaciones oficiales y actualizaciones de seguridad.
   • Las direcciones del remitente son falsificadas, asemejándose a dominios gubernamentales.

2. Cuerpo del Mensaje:

   • Usan saludos formales y un lenguaje que establece un sentido de autenticidad.
   • Incluyen solicitudes de acción urgente, como clics en enlaces o descargas de archivos.
   • Referencias a documentos ficticios que parecen legítimos.

3. Adjuntos Maliciosos:

   • Archivos con extensiones como .rar, .pdf, .url, y .html, a menudo renombrados para evadir filtros.
4. Enlaces de Phishing:
   • Redirigen a sitios de inicio de sesión falsos que recopilan información confidencial.

Análisis de Un Correo Electrónico de Phishing:

• Un enlace sospechoso dirigido a un subdominio de netlify.app, imita un nombre gubernamental.
• Dicha URL muestra un camino genérico y un parámetro que parece ser engañoso ya que no hay un archivo PDF real asociado.

Indicadores de Phishing Identificados:

• Suplantación de dominio, enlaces no funcionales y archivos adjuntos que no corresponden a la comunicación oficial.
• Ejemplos de direcciones IP involucradas son: 34.234.106.80, 104.21.92.200, entre otras.

Mapeo MITRE ATT&CK:

• Táctica: Acceso inicial.
• Técnicas utilizadas: Enlace de phishing y archivos adjuntos de spear phishing.

Reglas de Detección:
Se presentan ejemplos de reglas de detección para equipos técnicos que deseen personalizarlas según sus entornos:

1. Reglas de Suricata:

   • Alertas para URL y direcciones IP de phishing detectadas.
2. Reglas Sigma:
   • Detección de conexiones a direcciones IP maliciosas y acceso a enlaces de phishing conocidos.

Recomendaciones para la Mitigación de Riesgos:

1. Precauciones Inmediatas:

   • Evitar clics en enlaces desconocidos y descargar archivos sospechosos.
   • Verificar cuidadosamente los remitentes.

2. Reportar:

   • Reenviar correos sospechosos a equipos de TI o utilizar herramientas de reporte de phishing.

3. Proteger Credenciales:

   • No compartir datos de inicio de sesión y habilitar autenticación multifactor (MFA).

4. Formación Continua:

   • Participar en sesiones de concientización sobre phishing y mantenerse informado sobre tácticas cambiantes.

5. Monitoreo y Seguridad:

   • Uso de listas de IoC y reglas de detección para supervisar actividades sospechosas.
   • Mantener sistemas actualizados y aplicar el principio de privilegio mínimo.
6. Respuesta a Incidentes:
   • Asegurar que exista un plan de respuesta a incidentes, actuar con prontitud ante amenazas y reportar actividades sospechosas.

Este aviso tiene el propósito de resaltar la necesidad de un enfoque proactivo hacia la seguridad cibernética, especialmente frente a las tácticas de phishing en evolución.

Enlace de la fuente, haz clic para tener más información