- Barcuda dice que Tycoon ahora ofrece nuevas formas de ocultar enlaces maliciosos en correos electrónicos
- Codificación de URL, captchas duplicados, divisiones de dominio y otras técnicas se marcaron en el tejido
- Los investigadores han pedido a los comerciantes que usen métodos de varias capas para proteger
Hoy en día, un popular kit de phishing Tiecoon responsable de la mayoría de los ataques con base de correo electrónico, aparentemente se ha actualizado con nuevas estrategias para que los actores amenazados ayuden a ocultar enlaces malware y maliciosos en los mensajes de correo electrónico.
Los investigadores de protección han publicado un informe profundo del símbolo ‘@’ del cuartel y el uso del abuso dividido del subdominio para adoptar numerosas estrategias nuevas, incluida la codificación de URL, la captcha falsa, las técnicas de síntomas de protocolo redundantes.
Los atacantes con la técnica de codificación de URL insertaron múltiples espacios invisibles a las direcciones web para empujar las partes contaminadas del enlace a los escaneos de seguridad o agregar caracteres impares como símbolos Unicode.
Defensa multinivel
“Utilizando códigos y símbolos inesperados e inusuales, y la dirección web visible parece un sitio web menos sospechoso y más común, la técnica de codificación hace que los sistemas de protección estén endurecidos y el endurecimiento tradicional para reconocer la amenaza”, explicó Barakuda. “
Por otro lado, los Captchas falsos pasando por alto las verificaciones de seguridad básicas al mismo tiempo encontrar el sitio web más válido.
Los síntomas del protocolo rojo implican la creación de una URL que solo es parcialmente hipervínculo o contiene ingredientes ilegales (por ejemplo, dos ‘https’, o cualquiera //). Oculta el destino original del enlace cuando las piezas activas son válidas. El símbolo @ se puede usar en una dirección web para ocultar la parte contaminada de la URL.
Dado que ‘@’ todo es considerado como ‘información del usuario’ por el navegador, los atacantes pueden mantener algo como ‘Office 365’ allí. El destino real del enlace, la página de destino contaminada, viene después de ‘@’.
Su kit Tycoun puede dividir lo suave/malicioso en los subdominios. Ahora se le permite crear sitios web falsos utilizando nombres aparentemente vinculados con compañías conocidas de actores de amenaza (por ejemplo, se cree que las víctimas pueden pensar que están trabajando con el subdominio de Microsoft, pero la última parte de la dirección es el sitio de phishing real basado en el propietario.
La pesca es más compleja, más sofisticada y, por lo tanto, es más difícil de detectar, en minutos. Barcuda dice que la mejor defensa es un método versátil con protección de diferentes niveles que pueden identificar, inspeccionar y bloquear actividades anormales o inesperadas.
También recomiendan combinar soluciones de aprendizaje automático o de aprendizaje automático con capacitación regular de conciencia de los empleados.
