Sign in Subscribe
Phishing

Investigando una Campaña Ataque Comando y Control (C2) a través de un Correo Phishing

Brian Fajardo

2 min read
Investigando una Campaña Ataque Comando y Control (C2) a través de un Correo Phishing
Foto de Miha Meglic en Unsplash

Hace unos meses atrás, le llegó a mi mama un correo electrónico supuestamente de ADP, una empresa estadounidense de software y servicios de gestión de recursos humanos. El asunto se trataba de un aviso de wage garnishment, que es un procedimiento judicial en el que un tribunal ordena al empleador de un deudor que retenga los ingresos del deudor para pagarle al acreedor. Abajo está una imagen que le tome al correo.

Podemos ver varias cosas aquí.

  1. Lo primero es que el correo viene de ADP_Communication@adp.com .
  2. Segundo podemos ver que hay varios enlaces que contiene adp que nos lleva hacer varias funciones, tenemos incluso un código para registrarnos para poder ver más información sobre nuestro aviso de wage garnishment. Hay también un aviso que nos deja saber que el enlace va a expirar el 29 de junio, haciendo mas que un usuario abra el correo con urgencia.
  3. Por último podemos dejar de suscribir a estos tipos de correos sobre wage garnishment de ADP para que no nos llegue más. ¿Será que si esto hará algo? Ya que es algo que el trabajador debe estar siempre notificado no? Algo de pensar.

Teniendo en cuenta esta información, podemos decir que el correo se ve muy bien presentable. Un usuario sin mucho conocimiento en el tema de correos de phishing, puede cometer el error de abrir el correo sin preguntarse primero si el correo es auténtico. No van a tomar medidas de precaución por ejemplo verificar con el equipo de recursos humanos si de verdad le están quitando una porción salarial para pagar al acreedor, incluso saber si ADP es la empresa que hace gestión de recursos humanos en donde trabaja el trabajador, ya que puede ser una empresa totalmente diferente. Ya que hemos hecho el análisis sobre el correo, vamos hacer la parte de investigación donde vamos a poder ver cada detalle en lo que hace este correo en el fondo.

Descubriendo Más Allá

Foto de Alessandro Erbetta en Unsplash

Aquí hay un video donde les muestro la investigación. Al final del video, vamos a tener un mucho mejor conocimiento sobre este tipo de amenaza, que al final nos dimos cuenta que no era solo un correo de phishing!

0:00
/9:46

Referencias de apoyo:

  1. ¿Qué es un servidor C2?
  2. Ryuk-Crypto Ransomware Spear Phishing Campaign done via C2 Attack