Los investigadores de ciberseguridad han advertido sobre campañas de phishing en curso que abusan de las entradas de actualización en los encabezados HTTP para enviar páginas de inicio de sesión de correo electrónico falsificadas que están diseñadas para recopilar las credenciales de los usuarios.
«A diferencia de otros comportamientos de distribución de páginas web de phishing a través de contenido HTML, estos ataques utilizan el encabezado de respuesta enviado por un servidor, que se produce antes del procesamiento del contenido HTML», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Yu Zhang, Zeyu You y Wei Wang. dicho.
«Los enlaces maliciosos hacen que el navegador actualice o recargue automáticamente una página web de inmediato, sin requerir la interacción del usuario».
Los objetivos de la actividad a gran escala, observada entre mayo y julio de 2024, incluyen grandes corporaciones en Corea del Sur, así como agencias gubernamentales y escuelas en los EE. UU. Se han asociado hasta 2.000 URL maliciosas con las campañas.
Más del 36% de los ataques se han dirigido contra el sector empresarial y económico, seguido de los servicios financieros (12,9%), el gobierno (6,9%), la salud y la medicina (5,7%) y la informática e Internet (5,4%).
Los ataques son los últimos de una larga lista de tácticas que los actores de amenazas han empleado para ocultar sus intenciones y engañar a los destinatarios de correo electrónico para que proporcionen información confidencial, incluida aprovechando de dominios de nivel superior (TLD) y nombres de dominio de tendencia para propagar ataques de phishing y redirección.
Las cadenas de infección se caracterizan por la entrega de enlaces maliciosos a través de URL de actualización de encabezado que contiene las direcciones de correo electrónico de los destinatarios a los que se dirige. El enlace al que se redirigirá está incrustado en el Actualizar encabezado de respuesta.
El punto de inicio de la cadena de infección es un mensaje de correo electrónico que contiene un enlace que imita un dominio legítimo o comprometido que, cuando se hace clic, activa la redirección a la página de recolección de credenciales controlada por el actor.
Para dar al intento de phishing una apariencia de legitimidad, las páginas de inicio de sesión de correo web maliciosas tienen las direcciones de correo electrónico de los destinatarios precompletadas. También se ha observado que los atacantes utilizan dominios legítimos que ofrecen Acortamiento de URL, seguimiento y marketing de campañas servicios.
«Al imitar cuidadosamente los dominios legítimos y redirigir a las víctimas a sitios oficiales, los atacantes pueden enmascarar eficazmente sus verdaderos objetivos y aumentar la probabilidad de un robo de credenciales exitoso», dijeron los investigadores.
«Estas tácticas resaltan las sofisticadas estrategias que utilizan los atacantes para evitar ser detectados y explotar objetivos desprevenidos».
El phishing y la vulneración de correo electrónico empresarial (BEC) siguen siendo una vía importante para los adversarios que buscan robar información y realizar ataques con motivaciones económicas.
Los ataques BEC le han costado a Estados Unidos y a organizaciones internacionales un Se estima que son 55.490 millones de dólares entre octubre de 2013 y diciembre de 2023, con más de 305.000 incidentes de estafa reportados durante el mismo período de tiempo, según la Oficina Federal de Investigaciones (FBI) de EE. UU.
El desarrollo se produce en medio de «docenas de campañas fraudulentas» que han aprovechado videos deepfake con figuras públicas, directores ejecutivos, presentadores de noticias y altos funcionarios gubernamentales para promover esquemas de inversión falsos como Quantum AI desde al menos julio de 2023.
Estas campañas se propagan a través de publicaciones y anuncios en varias plataformas de redes sociales, dirigiendo a los usuarios a páginas web falsas que les solicitan que completen un formulario para registrarse, después de lo cual un estafador los contacta a través de una llamada telefónica y les pide que paguen una tarifa inicial de $250 para acceder al servicio.
«El estafador le indica a la víctima que descargue una aplicación especial para que pueda ‘invertir’ más de sus fondos», dijeron investigadores de Unit 42 dicho«Dentro de la aplicación, aparece un panel que muestra pequeñas ganancias».
«Finalmente, cuando la víctima intenta retirar sus fondos, los estafadores exigen tarifas de retiro o citan alguna otra razón (por ejemplo, cuestiones impositivas) para no poder recuperar sus fondos.
«Los estafadores pueden entonces bloquear la cuenta de la víctima y quedarse con los fondos restantes, provocando que la víctima pierda la mayor parte del dinero que puso en la ‘plataforma'».
También sigue el descubrimiento de un actor de amenazas sigiloso que se presenta como una empresa legítima y ha estado anunciando servicios automatizados de resolución de CAPTCHA a gran escala a otros ciberdelincuentes y ayudándolos a infiltrarse en las redes de TI.
Se cree que esta «empresa de facilitación de ataques cibernéticos», con sede en la República Checa y bautizada como Greasy Opal por Arkose Labs, está operativa desde 2009 y ofrece a los clientes una especie de conjunto de herramientas para robo de credenciales, creación masiva de cuentas falsas, automatización del navegador y spam en redes sociales por un precio de 190 dólares y 10 dólares adicionales por una suscripción mensual.
La cartera de productos abarca toda la gama de delitos cibernéticos, lo que les permite desarrollar un modelo de negocio sofisticado al agrupar varios servicios. Se dice que los ingresos de la entidad solo para 2023 ascenderán a nada menos que 1,7 millones de dólares.
«Greasy Opal emplea tecnología OCR de vanguardia para analizar e interpretar eficazmente los CAPTCHA basados en texto, incluso aquellos distorsionados u oscurecidos por ruido, rotación u oclusión», dijo la empresa de prevención de fraudes. anotado En un análisis reciente, se afirma que «el servicio desarrolla algoritmos de aprendizaje automático entrenados en amplios conjuntos de datos de imágenes».
Uno de sus usuarios es Storm-1152, un grupo de ciberdelincuencia vietnamita que fue identificado previamente por Microsoft como Venta de 750 millones de cuentas fraudulentas de Microsoft y herramientas a través de una red de sitios web falsos y páginas de redes sociales a otros actores criminales.
«Greasy Opal ha creado un conglomerado próspero de empresas multifacéticas que ofrecen no solo servicios de resolución de CAPTCHA, sino también software de mejora de SEO y servicios de automatización de redes sociales que a menudo se utilizan para el spam, que podría ser un precursor para la distribución de malware», dijo Arkose Labs.
«Este grupo de actores de amenazas refleja una tendencia creciente de empresas que operan en una zona gris, mientras que sus productos y servicios se han utilizado para actividades ilegales posteriores».