Los investigadores de ciberseguridad han advertido sobre campañas de phishing en curso que abusan de las entradas de actualización en los encabezados HTTP para entregar páginas de inicio de sesión de correo electrónico falsificadas diseñadas para recopilar credenciales de usuario.
“A diferencia de otros comportamientos de phishing de entrega de páginas web a través de contenido HTML, estos ataques utilizan el encabezado de respuesta enviado por un servidor, que ocurre antes de que se procese el contenido HTML”, dijeron Yu Zhang, investigadores de la Unidad 42 de Palo Alto Networks, Zeyu You y Wei Wang. dicho.
“Los enlaces maliciosos obligan al navegador a actualizar o recargar automáticamente una página web inmediatamente, sin requerir la interacción del usuario. »
Los objetivos de esta actividad a gran escala, observada entre mayo y julio de 2024, incluyen grandes empresas de Corea del Sur, así como agencias gubernamentales y escuelas de Estados Unidos. A estas campañas se han asociado nada menos que 2.000 URL maliciosas.
Más del 36% de los ataques se dirigieron al sector empresarial y económico, seguido de los servicios financieros (12,9%), gobierno (6,9%), salud y medicina (5,7%) y TI e Internet (5,4%).
Estos ataques son los últimos de una larga lista de tácticas utilizadas por malos actores para ocultar sus intenciones y engañar a los destinatarios de correo electrónico para que divulguen información confidencial, incluida disfrutar dominios de nivel superior (TLD) y nombres de dominio de tendencia para propagar ataques de phishing y redireccionamiento.
Las cadenas de infección se caracterizan por la entrega de enlaces maliciosos a través de URL de actualización del encabezado que contiene las direcciones de correo electrónico de los destinatarios objetivo. El enlace al que se redirigirá está incrustado en el Actualizar encabezado de respuesta.
El punto de partida de la cadena de infección es un mensaje de correo electrónico que contiene un enlace que imita un dominio legítimo o comprometido y que, al hacer clic en él, activa la redirección a la página de recopilación de credenciales controlada por el actor.
Para darle al intento de phishing una apariencia de legitimidad, las páginas de inicio de sesión de correo web maliciosas contienen las direcciones de correo electrónico de los destinatarios precargadas. También se ha observado que los atacantes utilizan dominios legítimos que ofrecen Acortamiento de URL, seguimiento y marketing de campañas servicios.
“Al imitar cuidadosamente dominios legítimos y redirigir a las víctimas a sitios oficiales, los atacantes pueden ocultar eficazmente sus verdaderos objetivos y aumentar la probabilidad de éxito en el robo de credenciales”, dijeron los investigadores.
“Estas tácticas resaltan las sofisticadas estrategias que utilizan los atacantes para evitar ser detectados y explotar objetivos desprevenidos. »
El phishing y el compromiso del correo electrónico empresarial (BEC) siguen siendo la vía preferida por los adversarios que buscan desviar información y lanzar ataques con motivación financiera.
Los ataques BEC han costado a las organizaciones estadounidenses e internacionales un estimado en $55,49 mil millones entre octubre de 2013 y diciembre de 2023, con más de 305.000 incidentes de estafa reportados durante el mismo período, según la Oficina Federal de Investigaciones de Estados Unidos (FBI).
El desarrollo se produce en medio de “docenas de campañas fraudulentas” que han explotado videos falsos que muestran a figuras públicas, directores ejecutivos, presentadores de noticias y funcionarios gubernamentales de alto rango para promover esquemas de inversión falsos, como la IA cuántica, desde al menos julio de 2023.
Estas campañas se difunden a través de publicaciones y anuncios en varias plataformas de redes sociales, dirigiendo a los usuarios a páginas web falsas que los invitan a completar un formulario para registrarse, después de lo cual un estafador los contacta por teléfono y les pide que paguen una tarifa inicial de 250 dólares para acceder al servicio.
“El estafador le pide a la víctima que descargue una aplicación especial para poder ‘invertir’ más de sus fondos”, dijeron los investigadores de la Unidad 42. dicho“En la aplicación, aparece un panel que muestra pequeñas ganancias. »
“Finalmente, cuando la víctima intenta retirar sus fondos, los estafadores cobran una tarifa de retiro o citan otra razón (por ejemplo, cuestiones fiscales) para no poder recuperar sus fondos.
“Los estafadores pueden entonces bloquear el acceso a la cuenta de la víctima y embolsarse los fondos restantes, lo que hace que la víctima pierda la mayor parte del dinero que puso en la ‘plataforma’. »
También sigue al descubrimiento de un actor de amenazas sigiloso que se hace pasar por una empresa legítima y anuncia servicios automatizados de resolución de CAPTCHA a escala para otros ciberdelincuentes y los ayuda a infiltrarse en redes informáticas.
Apodada Greasy Opal por Arkose Labs, esta “empresa de ciberataques” con sede en la República Checa funciona desde 2009 y ofrece a sus clientes una especie de caja de herramientas para el relleno de credenciales, la creación masiva de cuentas falsas, la automatización del navegador y el spam en las redes sociales por 190 dólares y $10 adicionales por una suscripción mensual.
La cartera de productos cubre todo el espectro del ciberdelito, lo que les permite desarrollar un modelo de negocio sofisticado al agrupar múltiples servicios. No se espera que los ingresos de la entidad solo para 2023 sean inferiores a 1,7 millones de dólares.
“Greasy Opal utiliza tecnología OCR de vanguardia para analizar e interpretar eficazmente CAPTCHA basados en texto, incluso aquellos distorsionados u oscurecidos por ruido, rotación u oclusión”, dijo la empresa de prevención de fraude. nota en un análisis reciente. “El servicio desarrolla algoritmos de aprendizaje automático entrenados en grandes conjuntos de datos de imágenes. »
Uno de sus usuarios es Storm-1152, un grupo de cibercrimen vietnamita previamente identificado por Microsoft como Venta de 750 millones de cuentas fraudulentas de Microsoft y herramientas a través de una red de sitios web falsos y páginas de redes sociales a otros actores criminales.
“Greasy Opal ha creado un próspero conglomerado de empresas multifacéticas que ofrecen no sólo servicios de resolución de CAPTCHA, sino también software de mejora de SEO y servicios de automatización de redes sociales que a menudo se utilizan para spam, lo que podría ser un precursor de la distribución de malware. ”, dijo Laboratorios Arkose.
“Este grupo de malos actores refleja una tendencia creciente de empresas que operan en una zona gris, mientras que sus productos y servicios se han utilizado para actividades ilegales posteriores. »