Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=mimecast-cases

Estudos de caso da Mimecast

API Email

A equipe do Sophos MDR escalou o seguinte caso para a Mimecast:

O caso

Em 6 de fevereiro de 2024, a equipe do Sophos MDR recebeu um cluster de alertas de segurança da Mimecast. O tipo de alerta era 'Default URL Def' mapeado sob a técnica MITRE ATTACK como 'Spearphishing Link'. Observamos que a atividade foi 'unactioned' (ação de alerta original: allowed) pelo controle de segurança de alerta. A investigação do MDR observou user@domain[.]com associado ao host User-LT que recebia um e-mail com o cabeçalho de assunto 26 hours a day now possible in 24 - Wiz kid shares his secret originado do endereço de e-mail no-reply@xpressim[.]com com o endereço IP externo 141[.]193[.]71[.]8. A URL para esse alerta era hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer.

O OSINT na URL de alerta myclickfunnels[.]com mostra que ele não tem uma reputação maliciosa. O OSINT no IP 141[.]193[.]71[.]8 mostra que ele pertence ao ISP ClickFunnels USA e não mostra uma reputação maliciosa. Mais investigações sobre a URL xpressim[.]com mostram que ele pertence a ISP Amazon Technologies Inc e tem uma pontuação de abuso de confiança elevada associada a phishing e fraude. Além disso, verificamos se havia soquetes abertos no host User-LT e não observamos nenhuma conexão suspeita. Nessa fase, temos as seguintes recomendações.

Recomendações

  • Bloqueie a URL maliciosa listada em "Detalhes técnicos" abaixo.
  • Bloqueie o IP 141[.]193[.]71[.]8 se Click Funnels não estiver em uso comercial.
  • Como precaução, se o usuário clicou em qualquer link dentro do e-mail, redefina as credenciais do usuário user@domain[.]com.

Detalhes técnicos

  • ID de detecção: XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • Destinatários: user@domain[.]com
  • Remetente: no-reply@xpressim[.]com
  • IP do remetente: 141[.]193[.]71[.]8
  • URLs: xpressim[.]com

Informe o MDR de suas ações e descobertas depois de rever nossas recomendações. Não hesite em contatar-nos com quaisquer outras questões ou preocupações.