Los investigadores de ciberseguridad han alertado sobre campañas de phishing activas que explotan las entradas de actualización en los encabezados HTTP para entregar páginas de inicio de sesión de correo electrónico falsas, diseñadas específicamente para recopilar las credenciales de los usuarios.

Los investigadores de la Unidad 42 de Palo Alto Networks, Yu Zhang, Zeyu You y Wei Wang, destacaron que, a diferencia de otros métodos de distribución de páginas web de phishing mediante contenido HTML, estos ataques emplean el encabezado de respuesta enviado por un servidor antes de que se procese el contenido HTML.

“Los enlaces maliciosos obligan al navegador a actualizar o recargar automáticamente una página web sin necesidad de interacción del usuario”, explicaron los investigadores.

Las víctimas de esta actividad a gran escala, observada entre mayo y julio de 2024, incluyen grandes corporaciones en Corea del Sur, así como agencias gubernamentales y escuelas en Estados Unidos. Se han identificado hasta 2.000 URL maliciosas vinculadas a estas campañas.

Más del 36% de los ataques se dirigieron al sector empresarial y económico, seguido de los servicios financieros (12,9%), el gobierno (6,9%), la salud y la medicina (5,7%) y el sector informático e Internet (5,4%).

Estos ataques representan las tácticas más recientes utilizadas por actores maliciosos para ocultar sus intenciones y engañar a las víctimas para que revelen información sensible. Esto incluye el uso de dominios de nivel superior (TLD) y nombres de dominio de tendencia para difundir ataques de phishing y redireccionamiento.

Las cadenas de infección se caracterizan por la entrega de enlaces maliciosos a través de URL de actualización de encabezado que contienen las direcciones de correo electrónico de las víctimas. El enlace de redireccionamiento está incrustado en el encabezado de respuesta de actualización.

La cadena de infección comienza con un correo electrónico que contiene un enlace que imita un dominio legítimo o comprometido. Al hacer clic, se activa la redirección hacia una página controlada por los atacantes para el robo de credenciales.

Para aumentar la apariencia de legitimidad en el intento de phishing, las páginas de inicio de sesión maliciosas de correo web presentan las direcciones de correo electrónico de las víctimas ya completadas. También se ha observado el uso de dominios legítimos que ofrecen servicios de acortamiento de URL, seguimiento y marketing.

“Al imitar minuciosamente dominios legítimos y redirigir a las víctimas a sitios oficiales, los atacantes logran enmascarar sus verdaderos objetivos y aumentar la probabilidad de un robo de credenciales exitoso”, señalaron los investigadores.

“Estas tácticas ponen de manifiesto las estrategias sofisticadas que los atacantes emplean para evitar ser detectados y explotar a víctimas desprevenidas”.

El phishing y el compromiso del correo electrónico empresarial (BEC) siguen siendo una vía crucial para que los adversarios roben información y ejecuten ataques con fines económicos.

La Oficina Federal de Investigaciones (FBI) de Estados Unidos estima que los ataques BEC han costado a organizaciones estadounidenses e internacionales aproximadamente 55.490 millones de dólares entre octubre de 2013 y diciembre de 2023, con más de 305.000 incidentes de estafa denunciados en el mismo período.

El reciente desarrollo de este escenario ocurre en medio de “docenas de campañas fraudulentas” que emplean videos deepfake con figuras públicas, ejecutivos, presentadores de noticias y altos funcionarios gubernamentales para promover esquemas de inversión fraudulentos como Quantum AI desde al menos julio de 2023.

Estas campañas se propagan a través de publicaciones y anuncios en redes sociales, redirigiendo a los usuarios a páginas web falsas que les solicitan completar un formulario de registro. Posteriormente, un estafador contacta a la víctima por teléfono y le pide un pago inicial de $250 para acceder al supuesto servicio.

“El estafador le pide a la víctima que descargue una aplicación especial para que pueda ‘invertir’ más de sus fondos”, explicaron los investigadores de Unit 42. “Dentro de la aplicación, aparece un panel que muestra pequeñas ganancias”.

“Finalmente, cuando la víctima intenta retirar sus fondos, los estafadores exigen tarifas de retiro o dan otras razones, como problemas fiscales, para no permitirles recuperar sus fondos”.

“Los estafadores pueden entonces bloquear la cuenta de la víctima y quedarse con el dinero restante, provocando que la víctima pierda la mayoría de los fondos invertidos en la ‘plataforma'”.

También ha salido a la luz la existencia de un grupo de amenazas sigiloso que se hace pasar por una empresa legítima y ha estado ofreciendo servicios de resolución automatizada de CAPTCHA a gran escala a otros ciberdelincuentes, ayudándolos a infiltrarse en redes de TI.

Conocida como Greasy Opal por Arkose Labs, esta “empresa de facilitación de ataques cibernéticos” tiene su sede en la República Checa y opera desde 2009, ofreciendo a los clientes un conjunto completo de herramientas para el robo de credenciales, la creación masiva de cuentas falsas, la automatización de navegadores y el spam en redes sociales, a un precio de $190 más una suscripción mensual de $10.

Su cartera de productos abarca una amplia gama de actividades cibernéticas ilegales, lo que les permite desarrollar un modelo de negocio sofisticado que incluye diversos servicios. Se estima que los ingresos de esta entidad solo para 2023 alcanzan los 1,7 millones de dólares.

“Greasy Opal emplea tecnología avanzada de reconocimiento óptico de caracteres (OCR) para analizar e interpretar eficazmente los CAPTCHA basados en texto, incluso los distorsionados o alterados por ruido, rotación u oclusión”, señaló la empresa de prevención de fraudes en un análisis reciente. “El servicio desarrolla algoritmos de aprendizaje automático entrenados con vastos conjuntos de datos de imágenes”.

Entre los clientes de Greasy Opal se encuentra Storm-1152, un grupo de ciberdelincuencia vietnamita identificado previamente por Microsoft, que vendió 750 millones de cuentas y herramientas fraudulentas de Microsoft a través de una red de sitios web falsos y páginas de redes sociales.

“Greasy Opal ha creado un conglomerado próspero de empresas multifacéticas que no solo ofrecen servicios de resolución de CAPTCHA, sino también software de mejora de SEO y servicios de automatización de redes sociales, a menudo utilizados para el spam, que podría ser un precursor para la distribución de malware”, advirtió Arkose Labs.

“Este grupo de actores de amenazas refleja una tendencia creciente de empresas que operan en una zona gris, mientras que sus productos y servicios se han utilizado para actividades ilegales posteriores”.

Fuente: thehackernews.com