Campaña de phishing contra Xerox

ANÁLISIS

El correo malicioso contiene un mensaje en el que se menciona un supuesto documento importante, relacionado con la compañía que lo recibe, el cual se invita a revisar. El asunto del mismo es Xerox Scanned [nombre del receptor] Document: Important Company Guideline Notes.

Dicho correo contiene enlaces maliciosos que no se deben abrir bajo ningún concepto.

En el origen del mensaje se trata de suplantar una dirección legítima de la compañía a la cual se dirigen, no obstante, el origen real es un servidor de correo de sendgrid.

El enlace malicioso proporcionado se oculta tras un enlace falso, el cual contiene el nombre de la empresa receptora del mensaje. Las referencias a la compañía a la que se dirige son continuadas a lo largo del texto del mensaje. El enlace apunta a una página maliciosa en la cual se suplanta la identidad de Microsoft para robar las credenciales de Outlook WebApp. 

Como información adicional, la compañía Xerox sufrió un ataque de ransomware del grupo Maze alrededor del pasado 2 de julio de 2020. Parte de la información robada (un total de 100GB, según Maze) fue expuesta en el propio portal de la dark web del actor malicioso.

Se proporcionan al final del mensaje los Indicadores de Compromisos detectados hasta el momento.

RECOMENDACIONES 

Se debe evitar abrir los documentos adjuntos de fuentes desconocidas, así como clicar en enlaces sospechosos.

En caso de haberlo hecho, no introducir ninguna información y notificar de inmediato.

Filtrar los IOCs proporcionados.

IOCS
Dominios
hxxp://crixerox-secondary.z15.web.core.windows[.]net 

REFERENCIAS

Inteligencia Lab52