Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=mimecast-cases

Casos prácticos relacionados con Mimecast

API Email

El equipo de Sophos MDR derivó el siguiente caso de Mimecast.

El caso

El 6 de febrero de 2024, el equipo de Sophos MDR recibió un grupo de alertas de seguridad de Mimecast. El tipo de alerta 'Default URL Def' se agrupó bajo la técnica de MITRE ATTACK 'Enlace de spearphishing'. Constatamos que el control de seguridad de alertas no había tomado ninguna medida para resolver la actividad (acción de alerta inicial: autorizada). Sophos MDR observó que user@domain[.]com asociado al host User-LT había recibido un correo electrónico con el asunto 26 hours a day now possible in 24 - Wiz kid shares his secret procedente de la dirección no-reply@xpressim[.]com con la dirección IP externa 141[.]193[.]71[.]8. La URL de esta alerta era hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer.

La inteligencia de fuentes abiertas (OSINT) sobre la URL myclickfunnels[.]com que activó la alerta demostró que no tenía una reputación maliciosa. OSINT sobre la IP 141[.]193[.]71[.]8 mostró que pertenecía al ISP ClickFunnels USA y no mostraba una reputación maliciosa. Una investigación más detallada de la URL xpressim[.]com reveló que pertenecía al ISP Amazon Technologies Inc y que tenía una puntuación de abuso de confianza elevada asociada al phishing y al fraude. Además, comprobamos si había sockets abiertos en el host User-LT y no observamos ninguna conexión sospechosa. En este punto tenemos las siguientes recomendaciones.

Recomendaciones

  • Bloquee la URL maliciosa que aparece en "Información técnica" más abajo.
  • Bloquee la dirección IP 141[.]193[.]71[.]8 si la empresa no utiliza ClickFunnels.
  • Como medida de precaución, si el usuario ha hecho clic en algún enlace dentro del correo electrónico, restablezca las credenciales del usuario user@domain[.]com.

Información técnica

  • ID de detección: XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • Destinatarios: user@domain[.]com
  • Remitente: no-reply@xpressim[.]com
  • IP del remitente: 141[.]193[.]71[.]8
  • Direcciones web: xpressim[.]com

Informe a Sophos MDR de sus medidas y conclusiones tras revisar nuestras recomendaciones. No dude en ponerse en contacto con nosotros si tiene más preguntas o dudas.