En una campaña de phishing denominada «Uncle Scam», los actores de amenazas se hacen pasar por agencias gubernamentales de los Estados Unidos para entregar correos electrónicos falsos de invitación a licitaciones a cientos de empresas estadounidenses.
Evitados por la plataforma de Prevención Avanzada de Amenazas de Perception Point, los investigadores de seguridad de Perception Point investigaron esta campaña, descubriendo kits interactivos avanzados, LLM y el abuso de la plataforma de marketing Dynamics 365 de Microsoft. Este blog explora cómo los atacantes crearon esta operación de phishing altamente realista y de varios pasos.
Este ataque comienza cuando un usuario recibe un correo electrónico de un supuesto representante de la Administración de Servicios Generales (GSA), una agencia del gobierno de los Estados Unidos que brinda apoyo en materia de adquisiciones a otras entidades gubernamentales. El mensaje parece ser un aviso oficial de adquisición, enviado a miles de organizaciones. Afirma que el Departamento de Energía de los Estados Unidos está invitando a los beneficiarios a presentar una oferta como subcontratista para un proyecto federal.
El abuso de la plataforma Dynamics 365 Marketing de Microsoft
Otra característica crucial que hace que este ataque de phishing sea particularmente notable es el abuso del dominio dyn365mktg.com. Los atacantes aprovechan este dominio para crear subdominios y enviar correos electrónicos maliciosos, lo que complica aún más los esfuerzos de detección.
El dominio dyn365mktg.com está asociado con la plataforma Dynamics 365 Marketing de Microsoft, una herramienta de confianza que usan las organizaciones para administrar campañas de marketing, enviar correos electrónicos e interactuar con los clientes. Debido a que está vinculado a Microsoft, los correos electrónicos de este dominio son inherentemente confiables y, a menudo, eluden estrictos controles de seguridad.
Los atacantes utilizan este dominio para fortalecer sus esfuerzos maliciosos para obtener diversos beneficios, entre ellos:
Autenticación previa
Cumplimiento de DKIM y SPF: Dyn365mktg.com está autenticado previamente por Microsoft, cumpliendo con los estándares DKIM y SPF. Esta autenticación previa garantiza que los correos electrónicos de este dominio tengan más probabilidades de eludir los filtros de spam y llegar directamente a las bandejas de entrada.
Evasión de la detección: Para los atacantes, esta es una ventaja significativa, ya que permite que sus correos electrónicos evadan los mecanismos de detección de phishing que normalmente filtran los dominios sospechosos o no confiables.
Alta capacidad de entrega
Asociación con Microsoft: la fuerte asociación del dominio con Microsoft y su estado de autenticación previa contribuyen a su alta capacidad de entrega. Esto significa que los correos electrónicos de phishing enviados desde dyn365mktg.com tienen menos probabilidades de ser marcados como spam.
Aumento de la eficacia de la campaña: Una mayor capacidad de entrega se traduce en una mayor posibilidad de alcanzar los objetivos previstos, lo que mejora la eficacia de las campañas de phishing.
Credibilidad incorporada
Plataforma de marketing de confianza: Debido a que dyn365mktg.com está vinculada a una plataforma de marketing de confianza, los correos electrónicos de este dominio parecen inherentemente más legítimos. Los atacantes explotan esta credibilidad incorporada para hacer que sus intentos de phishing parezcan más convincentes.
En una campaña de phishing denominada «Uncle Scam», los actores de amenazas se hacen pasar por agencias gubernamentales de los Estados Unidos para entregar correos electrónicos falsos de invitación a licitaciones a cientos de empresas estadounidenses.
Evitados por la plataforma de Prevención Avanzada de Amenazas de Perception Point, los investigadores de seguridad de Perception Point investigaron esta campaña, descubriendo kits interactivos avanzados, LLM y el abuso de la plataforma de marketing Dynamics 365 de Microsoft. Este blog explora cómo los atacantes crearon esta operación de phishing altamente realista y de varios pasos.
Este ataque comienza cuando un usuario recibe un correo electrónico de un supuesto representante de la Administración de Servicios Generales (GSA), una agencia del gobierno de los Estados Unidos que brinda apoyo en materia de adquisiciones a otras entidades gubernamentales. El mensaje parece ser un aviso oficial de adquisición, enviado a miles de organizaciones. Afirma que el Departamento de Energía de los Estados Unidos está invitando a los beneficiarios a presentar una oferta como subcontratista para un proyecto federal.
El abuso de la plataforma Dynamics 365 Marketing de Microsoft
Otra característica crucial que hace que este ataque de phishing sea particularmente notable es el abuso del dominio dyn365mktg.com. Los atacantes aprovechan este dominio para crear subdominios y enviar correos electrónicos maliciosos, lo que complica aún más los esfuerzos de detección.
El dominio dyn365mktg.com está asociado con la plataforma Dynamics 365 Marketing de Microsoft, una herramienta de confianza que usan las organizaciones para administrar campañas de marketing, enviar correos electrónicos e interactuar con los clientes. Debido a que está vinculado a Microsoft, los correos electrónicos de este dominio son inherentemente confiables y, a menudo, eluden estrictos controles de seguridad.
Los atacantes utilizan este dominio para fortalecer sus esfuerzos maliciosos para obtener diversos beneficios, entre ellos: