El actor de amenazas usó la función de favicon respaldada por Google.
El equipo de análisis de ASEC detectó múltiples correos electrónicos de phishing que se distribuyen con un ícono cambiante para reflejar el servicio de cuenta ingresado por el usuario.
Generalmente, la dirección de correo electrónico requerida del usuario se completa automáticamente en los formularios, por lo que el usuario solo tendría que ingresar su contraseña. Sin embargo, en este caso el phishing requiere que el usuario entregue estos dos datos.
- El 16 de enero de 2023, se envió un correo electrónico de phishing a los usuarios advirtiéndoles que su cuenta se cerraría a menos que hicieran clic en el enlace “Reactivar ahora”.
- De acuerdo con el tipo de servicio de correo que aparece detrás de “@”, el ícono de la página de phishing cambia si ingresa la “dirección del sitio web” deseada debajo de la URL provista.
Las credenciales de la cuenta ingresadas en la página de phishing se enviaron a un C2 cuya dirección era el mismo dominio que una campaña anterior observada por los investigadores. Esto llevó a suponer que el mismo actor de amenazas dirigió la última campaña.
En conclusión, los ataques de phishing están evolucionando y se están sofisticando, lo que los convierte en una seria amenaza para las organizaciones. Estos ataques no solo se limitan a los empleados que tienen acceso a información confidencial, sino que también pueden ser utilizados por los atacantes para obtener acceso a las redes corporativas.
