El actor de amenazas usó la función de favicon respaldada por Google.
El equipo de análisis de ASEC detectó múltiples correos electrónicos de phishing que se distribuyen con un ícono cambiante para reflejar el servicio de cuenta ingresado por el usuario.
Generalmente, la dirección de correo electrónico requerida del usuario se completa automáticamente en los formularios, por lo que el usuario solo tendría que ingresar su contraseña. Sin embargo, en este caso el phishing requiere que el usuario entregue estos dos datos.
Las credenciales de la cuenta ingresadas en la página de phishing se enviaron a un C2 cuya dirección era el mismo dominio que una campaña anterior observada por los investigadores. Esto llevó a suponer que el mismo actor de amenazas dirigió la última campaña.
En conclusión, los ataques de phishing están evolucionando y se están sofisticando, lo que los convierte en una seria amenaza para las organizaciones. Estos ataques no solo se limitan a los empleados que tienen acceso a información confidencial, sino que también pueden ser utilizados por los atacantes para obtener acceso a las redes corporativas.