El engañoso phishing de Office 365 invierte las imágenes para evadir la detección

El engañoso phishing de Office 365 invierte las imágenes para evadir la detección

Una campaña creativa de phishing de Office 365 revirtió las imágenes utilizadas como fondos para las páginas de destino para evitar que los rastreadores diseñados para detectar sitios de phishing las marcaran como maliciosas.

Estos fondos invertidos se utilizan comúnmente como parte de los kits de phishing que intentan clonar páginas de inicio de sesión legítimas lo más cerca posible para recopilar las credenciales de un objetivo engañándolo para que las ingrese en un formulario de inicio de sesión falso.

Esta táctica fue utilizada por varios sitios de phishing de credenciales de Office 365 según los analistas de WMC Global que detectaron que se distribuía como parte del mismo kit de phishing creado y vendido por un solo actor de amenazas a varios usuarios.

"A medida que el software de reconocimiento de imágenes mejora y se vuelve más preciso, esta nueva técnica tiene como objetivo engañar a los motores de escaneo invirtiendo los colores de la imagen, lo que hace que el hash de la imagen sea diferente del original", explica WMC Global. . "Esta técnica puede obstaculizar la capacidad del software para marcar completamente esta imagen".

Original junto al fondo invertido
Versión original junto al fondo invertido (PhishFeed)
Índice()

    CSS utilizado para restaurar el fondo

    La parte complicada que hace viable este método de evasión de detección es que las víctimas potenciales notarían inmediatamente la imagen invertida inusual y al instante sospecharían y probablemente abandonarían el sitio de inmediato.

    Sin embargo, para evitar esto, el kit de phishing diseñado para usar esta nueva táctica restaura automáticamente los fondos de pantalla utilizando hojas de estilo en cascada (CSS) para que se vean como los fondos originales de las páginas de inicio de sesión de Office 365 que están tratando de imitar.

    Los objetivos que se redirigen a una de estas páginas de destino de phishing verán el fondo original en lugar de los fondos de imagen invertidos con los que se publicarán los rastreadores web.

    El uso de esta táctica permite que el kit de suplantación de identidad muestre diferentes versiones de la misma página de destino de suplantación de identidad a las víctimas y a los motores de análisis, lo que dificulta efectivamente los intentos de estos últimos de detectar el sitio web en el que se implementa como un sitio malicioso.

    Código CSS utilizado para restaurar la imagen
    Código CSS utilizado para restaurar la imagen (PhishFeed)

    Método adaptado al nuevo fondo de Office 365

    También es importante recordar que esta táctica de inversión de imágenes se observó dentro de un kit de phishing de credenciales de Office 365 que se utiliza activamente de acuerdo con Analistas de WMC Global.

    "Nuestro equipo examinó otras campañas implementadas por este actor de amenazas y descubrió que el individuo estaba usando la misma técnica inversa en el nuevo entorno de Office 365", explican con más detalle.

    A principios de este año, otra campaña de phishing de Office 365 utilizó trucos CSS para evitar las puertas de enlace de correo electrónico seguras (SEG) al invertir el texto en el HTML de los correos electrónicos de phishing para completar plantillas estadísticas. Bayesianos de pasarelas de correo electrónico.

    Otras campañas de phishing dirigidas a los usuarios de Office 365 también han utilizado técnicas innovadoras como probar el acceso robado en tiempo real, abusar de Google Ads para eludir las pasarelas de correo electrónico seguras, así como los servicios de Google Cloud, Microsoft Azure, Microsoft Dynamics e IBM Cloud. para alojar páginas de destino de phishing.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir