Emails
- PhishTool (Web)Plataforma para automatizar análisis de archivos EML
- KernelEMLviewerWin software para ver emails sin necesidad de clientes de email
- Url2PNG (Web)Visualizador de enlaces
- WannaBrowser (Web)Visualizador de enlaces
- Browserling (Web)Visualizador de enlaces
- URLScan (Web)Sandbox para enlaces
- Spamhaus (Web)Reputation-Checker para enlaces
- MX Lookup (Web)Comprobación manual de que una dirección de correo existe
- Typosquat & Homograph
- “From”, “Reply-To/Return-Path”, “X-Sender”, “X-Originating-IP”
- “X-Sender-IP”, “X-Sender-IP”
- “To”, “Delivered-To”, “BCC”
- “Subject”
- “Date”
- “SPF”, “DKIM”, “DMARK” records
- “Content-Transfer-Encoding” (base64)
- Archivos Adjuntos
- Hyperlinks
¿El email ha sido enviado desde el servidor SMTP correcto?
¿La información de "From" y "Reply-To / Return-Path" coinciden?
- Sending Address:
- Subject Line:
- Recipients:
- Sending Server IP:
- Reverse DNS:
- Reply-To:
- Date and Time:
- Full URL (sanitized):
- Root Domain:
Observando el correo electrónico reportado en el cliente de correo electrónico de Outlook, este mensaje está suplantando una alerta de seguridad de Outlook utilizando marcas como los logotipos de Outlook. El correo electrónico informa a los destinatarios de que sus buzones se cerrarán a menos que confirmen su identidad, donde se les dirige a hacer clic en un botón, que probablemente conduce a un recolector de credenciales basado en el contexto del correo electrónico.
La comprobación de la pasarela de correo electrónico muestra que no ha habido correos electrónicos salientes a la dirección de envío, por lo que ningún destinatario ha respondido al remitente.
Una búsqueda de DNS inversa en la IP del servidor de envío muestra que este correo electrónico se ha originado definitivamente en Gmail, y no en Microsoft.
El análisis URL2PNG muestra que la URL completa es un recolector de credenciales de Outlook, que pide a los usuarios que introduzcan su correo electrónico y su contraseña.
Una búsqueda en VirusTotal del dominio muestra que ha sido marcado por actividad maliciosa y de phishing, por lo que se sabe que es malicioso dentro de la comunidad de seguridad.
Al comprobar el SIEM y el EDR, ningún empleado ha realizado una conexión de red con el dominio malicioso, por lo que ningún destinatario ha hecho clic en el enlace del correo electrónico en este momento.
El dominio también está tratando de escribir o aparecer como un dominio legítimo relacionado con las alertas de seguridad de correo electrónico, tratando de hacer el ataque más creíble para los objetivos.
As the sender is using a Gmail address, the most appropriate action would be to block this specific mailbox to prevent any more incoming malicious emails from this sender.
Solicitando un bloqueo de la pasarela de correo electrónico para la dirección de envío "[email protected]".
El dominio ha sido reconocido como malicioso, y no hay justificación comercial para que ningún empleado necesite acceder a este sitio. Como tiene una reputación maliciosa en VirusTotal, y el análisis ha demostrado que aloja un recolector de credenciales, se puede bloquear todo el dominio en el proxy web, impidiendo que los empleados se conecten al sitio. Esto también hará que los futuros ataques de phishing que utilicen este mismo dominio sean ineficaces.
Última actualización 11mo ago