Sora Anzen Company by Asseco

Noticias relacionadas

¿Qué hay tras un ataque de phishing?

¿Qué hay tras un ataque de phishing?

Hoy queremos traer un ejemplo de un ataque phishing. Vamos a analizar lo que ocurre en bambalinas viendo en detalle los procesos desencadenados (y qué como usuarios no vemos) cuando por imprudencia o desconocimiento caemos ante este tipo de ataques…

El correo

Para este ejemplo vamos a escoger un correo que podríamos recibir cualquiera de nosotros en nuestros buzones de correo personales o de trabajo. Este correo contiene un adjunto o enlace que el usuario debe abrir.

Gracias a que contamos con herramientas de análisis vamos a mostrar lo que sucede cuando se cae en uno de estos ataques. Hemos realizado este análisis en un entorno seguro (sandbox) para analizar este programa maligno sin riego para nuestros equipos e información. Para ello hemos procedido a abrir el adjunto del correo. Como podrán ver, un fichero hemos procedido a abrir el adjunto Summary.2427.html lo que desencadena una serie de acciones como aperturas de conexiones ya sean por IP/dns, apertura de navegador de forma concatenada, creación de ficheros (más de 500) y creación de 16 entradas en el registro de Windows, etc…

Finalmente, la finalización de este proceso es mostrar al usuario una pagina en el navegador para que inicie sesión en el Microsoft 365 para poder visualizar el fichero que supuestamente ha recibido por correo. Si el usuario vuelve a caer en la trampa, introducirá su usuario y credencial de acceso.

Haciendo listado de las direcciones url en este ataque podemos ver las webs consultadas y que además se analizan con un antivirus los accesos que tienen una reputación desconocida. En algunos casos no hay amenaza, pero en alguna web si dado que su código ya es conocido por las compañías de antivirus.

En resumen, nuestro análisis en el sandbox reporta que tenemos un caso de malware clasificado con Phishing con sospecha de Rasomware y con riesgo de 80/100.

Conclusión: Es importante tener protecciones que permitan minimizar estos ataques, siendo neutralizarlos antes de su entrega al usuario y en aquellos casos más sofisticados en los que aparentemente las protecciones implementadas no sean suficiente tener a nuestros usuarios formados. Pero si se dan que las protecciones y la formación no es suficiente, por lo menos contar con soluciones EDR o XDR. En estos casos, se podrá evaluar el impacto en la compañía permitiendo al equipo de respuesta o de seguridad tomar las acciones necesarias para contener y corregir ante incidentes.

Para saber más o enviarnos cualquier consulta, no dude en ponerse en contacto con nosotros en cybersecurity@asseco.es

Jorge Jiménez Ortega

Senior Security System Administrator

Asseco Spain Group

Sora Anzen Company by Asseco

Sora Anzen Company es la marca especializada en ciberseguridad de Asseco Spain Group

NOSOTROS

Asseco Spain Group

Sora Anzen Company

Nuestro equipo

Misión, visión y valores

Certificaciones

CYBERSECURITY SERVICES

Seguridad para infraestructura IT

Auditorias y simulacros de ataque

Gobierno, riesgo y cumplimiento

Centro de seguridad gestionado

MICROSOFT SERVICES

Microsoft 365 Basic

Microsoft 365 Advanced

Microsoft 365 + Seguridad

Sora Anzen Company by Asseco

Sora Anzen Company es la marca especializada en ciberseguridad de Asseco Spain Group

NOSOTROS

CYBERSECURITY SERVICES

MICROSOFT SERVICES

AVISO LEGAL

POLÍTICA DE PRIVACIDAD

CONDICIONES DE USO DE LA WEB

POLÍTICA DE COOKIES

Toggle Sliding Bar Area
Ir a Arriba