LAS URL SON CUATRO VECES MAS PROPENSAS QUE LOS ARCHIVOS ADJUNTOS DE PHISHING A LLEGAR A LOS USUARIOS

Según un nuevo informe de la empresa de seguridad Cofense, las URL incrustadas en correos electrónicos de phishing como un medio inicial para involucrar a la víctima prevista han llegado a esas víctimas a una tasa mucho mayor que los archivos adjuntos utilizados con el mismo propósito.

Cofense emitió su informe y comentó que los primeros pasos en los correos electrónicos tradicionales de phishing se han mantenido iguales durante décadas, con el correo electrónico que contiene una URL maliciosa o un archivo adjunto.

Según Cofense, sus datos del año pasado muestran que el dominio de las URL sobre los archivos adjuntos continuó en 2022 por varias razones, incluidos dominios confiables abusables, servicios gratuitos en la web que brindan infraestructura de phishing y los efectos evasivos de los redireccionamientos.

“Esta tendencia continua de dominio basado en URL ocurre entre los correos electrónicos de phishing que llegan a organizaciones de nivel empresarial, muchas de las cuales están protegidas por puertas de enlace de correo electrónico seguras (SEG) de alto perfil”, dice Cofense.

“Hay varias razones posibles por las que los correos electrónicos de phishing basados ​​en URL pueden escapar a la detección de SEG más fácilmente que los correos electrónicos basados ​​en archivos adjuntos. Las URL pueden tener un nivel de confianza inherente si se abusa de los dominios de confianza; Los SEG pueden ser mejores para identificar archivos maliciosos que las URL; un gran porcentaje de correos electrónicos de marketing benignos contienen URL de fuentes desconocidas y, por lo tanto, son difíciles de diferenciar de las URL maliciosas de fuentes desconocidas.

“Más allá del SEG, los actores de amenazas tienen aún más razones para usar URL, ya que los usuarios en el entorno de trabajo actual pueden sentirse más cómodos interactuando con un enlace desconocido que con un archivo adjunto desconocido. Los dos gráficos de la Figura 1 muestran que la proporción de correos electrónicos de phishing basados ​​en URL no cambió significativamente entre 2021 y 2022, pero continúa superando el uso efectivo de archivos adjuntos por un factor de cuatro. El uso de archivos adjuntos aumentó su participación en el total en aproximadamente un tres por ciento”.

‘Los correos electrónicos de phishing tradicionales generalmente tienen el objetivo de robar credenciales o entregar malware. Los archivos adjuntos y las URL incrustadas se pueden usar para cualquiera de estos objetivos. La Figura 2 muestra que, a pesar de que los correos electrónicos de entrega de malware hacen un mayor uso de los archivos adjuntos como método de participación que los correos electrónicos de phishing de credenciales, ambos se inician principalmente mediante una URL incrustada.

“En general, esperamos ver un mayor porcentaje de URL con phishing de credenciales. Esto se debe principalmente al hecho de que la mayoría de las variantes de phishing de credenciales ya requieren el uso de URL. Phishing-as-a-Service y otros kits de phish preconstruidos comercializados a menudo favorecen el uso de URL. Sin embargo, el uso de archivos adjuntos sigue siendo bastante común, y los tipos de archivos como HTML y PDF se encuentran entre los más comunes en los archivos adjuntos de correo electrónico de phishing de credenciales.

“Como se señaló, el uso de archivos adjuntos en la entrega de malware es más prominente que lo que vemos en las campañas de phishing de credenciales. Es probable que esto se deba a que la mayoría de las entregas de malware ya requieren el uso de archivos como carga útil final, lo que significa que el actor de amenazas ya está algo familiarizado con el uso de archivos.

“También es muy común que los actores de amenazas que intentan entregar malware incluyan sus archivos maliciosos en archivos ZIP protegidos con contraseña que pueden interrumpir el análisis SEG. Esto se suma a la cantidad de correos electrónicos de phishing que vemos que llegan a los usuarios finales. Además, se sabe que algunas de las familias de malware más avanzadas que se difunden a gran escala, como QakBot y Emotet, usan archivos adjuntos en sus correos electrónicos, pero también emplean el uso de URL incrustadas.

Cofense dice que las URL de phishing son actualmente el método de participación más popular utilizado en los correos electrónicos de phishing que llegan a las bandejas de entrada, y las tácticas de phishing que emplean los actores de amenazas que son conocidas por eludir la infraestructura de seguridad del correo electrónico contribuyen a esto. Las URL de phishing que llegan a los usuarios finales utilizan con frecuencia una de las siguientes tácticas en las URL incrustadas (aunque también existen otras tácticas):

Dominios de confianza: los actores de amenazas a menudo abusan de los servicios de confianza, como los servicios en la nube, para alojar contenido malicioso. Esto significa que sus sitios de phishing estarán en dominios que los usuarios finales y la infraestructura de seguridad, como los SEG, consideran confiables. Los correos electrónicos de phishing que abusan de estos servicios a menudo logran llegar a los objetivos previstos, ya que estos dominios no se pueden bloquear por completo.

Servicios disponibles abiertamente: los actores de amenazas a menudo buscan servicios gratuitos o baratos para abusar dentro de sus campañas de phishing. A menudo, esto puede incluso dar lugar a que sus URL también tengan un dominio de confianza. Cualquier plataforma de alojamiento gratuita o barata corre el riesgo de ser abusada por actores de amenazas que buscan una forma barata de

Múltiples redireccionamientos: es una táctica común que la URL incrustada en el correo electrónico de phishing no sea la primera etapa del ataque de phishing. Mediante el uso de múltiples redirecciones y la creación de una cadena de URL maliciosas para analizar, los actores de amenazas a menudo pueden tener suficientes redirecciones desde la URL inicial a la página final que se usa directamente para descargar malware o robar credenciales para que un SEG detenga el análisis antes de llegar a ella.

Cofense dice que hay muchas tácticas potenciales que se pueden emplear para usar archivos adjuntos maliciosos dentro de los correos electrónicos de phishing.

“Los archivos adjuntos maliciosos tienen una gran variedad de usos, incluida la recolección directa de credenciales, contener otros archivos maliciosos que han sido comprimidos, redirigir a una URL de phishing y actuar como un descargador de malware de primera etapa, entre muchas otras posibilidades.

“Además, el tipo de archivo adjunto utilizado a menudo depende de la amenaza que se presente. Algunas de las tácticas más comunes que vemos en los correos electrónicos de phishing que contienen un archivo adjunto malicioso son:

Archivos protegidos con contraseña: es común que los actores de amenazas usen archivos protegidos con contraseña, como un archivo ZIP, para eludir la seguridad y llegar a los objetivos previstos. Emotet es conocido por usar esta táctica y, a menudo, difunde una gran cantidad de correos electrónicos con archivos maliciosos de Office comprimidos en archivos ZIP protegidos con contraseña. La contraseña a menudo se encuentra en áreas de fácil acceso para que el objetivo previsto la encuentre, como en el cuerpo del correo electrónico.

Archivos adjuntos desconocidos: los actores de amenazas buscan con frecuencia nuevos tipos de archivos adjuntos que pueden ser desconocidos para los investigadores de seguridad y tienen la posibilidad de eludir los SEG. La mayoría de los SEG capturarán y bloquearán fácilmente un archivo ejecutable malicioso adjunto directamente debido a la naturaleza simplista y obvia de la amenaza. Sin embargo, los actores de amenazas son conscientes de esto y recientemente hemos visto a los operadores de QakBot enviar archivos .ONE adjuntos directamente que parecen evadir efectivamente el escrutinio de SEG.

Archivos codificados: la codificación de archivos es una forma popular de hacer que los archivos adjuntos maliciosos sean difíciles de analizar. Los archivos HTML son un tipo de archivo muy popular para que los actores de amenazas los codifiquen, pero la codificación es una táctica común que se ve en una variedad de tipos de archivos.