Una nueva técnica de evasión se ha detectado en los correos Phishing. Consiste en la simulación prácticamente perfecta del nuevo logo de Microsoft usando código HTML dentro de una tabla. Esto elimina la necesidad de incrustar imágenes del logo que puedan ser analizadas por los controles de seguridad para detectar las amenazas.
La sutileza y alta evasión que presenta esta nueva técnica nos hace pensar que será utilizada de ahora en adelante en otros ataques que podrían simular:
- Mensajes de Sharepoint, Teams, Onedrive y otros elementos de colaboración de Microsoft
- Mensajes de otras plataformas como Zoom
De momento, no se tienen antecedentes de una manera efectiva para controlar este tipo de ataques.
EL GCI de NeoSecure ha analizado el HTML5 y no ha detectado que HTML5 permite crear tablas con bordes redondos, por lo que los atacantes podrían aprovechar otros logos que puedan ser fácilmente falsificados debido a la simpleza que podrían tener.
RECOMENDACIONES
- Concientizar a los usuarios sobre esta nueva técnica de Phishing.
- Indicar que no abran un email sobre una invitación a una reunión o archivo compartido que no estén esperando.
REFENCIAS
- https://www.techrepublic.com/article/how-phishing-attacks-spoofing-microsoft-are-evading-security-detection/
- https://threatpost.com/sharepoint-phish-ransomware-attacks/165671/
Fuente: NeoSecure
