Remitente

Los remitentes contienen un patrón de creación para el envío de los correos que se encuentra:

citacion+numeración+(@)pjedomex.gob.mx

POr lo mismo, podría no proveenir desde el mismo correo que mostramos.

Análisis del Correo

El correo electrónico no cuenta con archivos adjuntos, incrusta enlace que redirecciona a una página de sendgrid e inicia la descarga de un archivo:

hxxps://u16089851.ct.sendgrid(dot)net/ls/click?upn=Vmp5e3-2FF2nGX2oILfLCxhX-2FR7U-2BTDzftFOVk26LUDCWq7xdq91rGiLcgBrCgboueqWZTlUR0LvXFPariNSMkmQ-3D-3D2_4m_fzqpUMxJ1qTNib-2FZH-2FhDLQslDeLOOlwQoxFvCkjhk70Z27Arm77co1p5NvZk3sDLKbqPCtXk2PQUmaTIOcy301-2Bfpb4QmtEleYt1KhE76oyxtf6GdAa-2BtwrXEtTUsGLcZCzhCxdAWKLCDUntnkzubGHEWSKPZc-2BE9l3NN2sOV29SKUHTvrohRg7kK1WHRCy7AU9rdMu6CE-2FhupGu54NTAiswg5O78VHvDE78FG7ndt8-3D

La acción

Al momento de acceder al enlace, comienza una descarga de un documento con extensión .zip

Mismo que, al realizar un breve análisis por la herramienta Virus total, podemos identificar que su contenido es catalogado como malicioso por sólo algunas herramientas de seguridad

Enlace del análisis:

VirusTotal – File – 2e515c8ccbbb0dca681d968dbc4502722db38cd50d0762707fd9f6e4417ada14

Análisis de cabeceras

Al momento de revisar las cabeceras del correo, nos podemos dar cuenta que estos provienen de una entidad distinta, un dominio prod.cloud.linx.com, tratándose de un problema de suplantación de identidad.

En la política podemos identificar algo que dice que se encuentra Autenticada pero no alineada al SPF ¿Qué significa esto?

Autenticada: Que la dirección IP desde dónde se está realizando el envío de los correos, se encuentra dada de alta en el registro SPF.

Alineada: Que el envío de los correos se está haciendo desde otro domino a nombre del dominio principal.

En esta imagen anterior, podemos ver de manera más clara cómo lo que mencionabamos respecto a la alineación y autenticación.

Recomendaciones

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java, entre otras).
• Contar con una solución de AntiSpam con características de identificación de Malware.
• Adquirir o tener instalado solución Antimalware con detección de comportamiento o EDR.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Contar con los registros DNS en los servidores de correo (SPF, DMARC y DKIM)
• Quedará a consideración, el bloqueo de remitentes de infracciones.edomex.gob.mx
• Aplicar una política de Antimalware en el gestor de Correo electrónico.
• Agregar el Hash a los motores de Antimalware que tiene la organización.
• Aplicar mecanismos AntiSpam que permitan el rechazo de correos