La campaña Luna Moth ha extorsionado a cientos de miles de dólares de varias víctimas en los sectores legal y minorista.
Los ataques se destacan por emplear una técnica llamada phishing de devolución de llamada o entrega de ataque orientada al teléfono (TOAD), en la que las víctimas están diseñadas socialmente para hacer una llamada telefónica a través de correos electrónicos de phishing que contienen facturas y señuelos temáticos de suscripción.
La Unidad 42 de Palo Alto Networks dijo que los ataques son el “producto de una sola campaña altamente organizada”, y agregó que “este actor de amenazas ha invertido significativamente en centros de llamadas e infraestructura que es única para cada víctima”.
La firma de ciberseguridad descrito la actividad como una “campaña generalizada de varios meses que está evolucionando activamente”.
Lo notable del phishing de devolución de llamada es que los mensajes de correo electrónico están completamente desprovistos de archivos adjuntos maliciosos o enlaces con trampas explosivas, lo que les permite evadir la detección y eludir las soluciones de protección de correo electrónico.
Estos mensajes suelen venir con una factura que incluye un número de teléfono al que los usuarios pueden llamar para cancelar la supuesta suscripción. En realidad, sin embargo, las víctimas son enrutadas a un centro de llamadas controlado por un actor y conectadas a un agente en vivo en el otro extremo, que termina instalando una herramienta de acceso remoto para la persistencia.
“El atacante luego buscará identificar información valiosa en la computadora de la víctima y los archivos compartidos conectados, y la exfiltrará silenciosamente a un servidor que controle usando una herramienta de transferencia de archivos”, dijo el investigador de la Unidad 42, Kristopher Russo.
La campaña puede requerir muchos recursos, pero también es técnicamente menos sofisticada y es probable que tenga una tasa de éxito mucho más alta que otros ataques de phishing.
Además de eso, permite la extorsión sin encriptación, lo que permite a los actores malintencionados saquear datos confidenciales sin la necesidad de implementar ransomware para bloquear los archivos después de la exfiltración.
El actor de Luna Moth, también conocido como Silent Ransom, se ha convertido en una especie de experto cuando se trata de llevar a cabo tales esquemas. Según AdvIntel, se cree que el grupo de ciberdelincuencia es el autor intelectual de los ataques de BazarCall el año pasado.
Para dar a estos ataques una apariencia de legitimidad, los adversarios, en lugar de lanzar un malware como BazarLoader, aprovechan herramientas legítimas como Zoho Assist para interactuar de forma remota con la computadora de la víctima, abusando del acceso para implementar otro software confiable como Rclone o WinSCP para recolección de datos.
Las demandas de extorsión varían de dos a 78 Bitcoin según la organización objetivo, y el actor de amenazas crea billeteras de criptomonedas únicas para cada pago. También se dice que el adversario ofrece descuentos de casi el 25% por pronto pago, aunque no hay garantía de que los datos se eliminen.
“Los actores de amenazas detrás de esta campaña se han esforzado mucho para evitar todas las herramientas no esenciales y el malware, para minimizar el potencial de detección”, dijo Russo. “Dado que hay muy pocos indicadores tempranos de que una víctima está siendo atacada, la capacitación en concientización sobre seguridad cibernética de los empleados es la primera línea de defensa”.
About the Author
