
Los investigadores de ciberseguridad han descubierto que los malos actores siguen teniendo éxito al falsificar las direcciones de correo electrónico de los remitentes como parte de varias campañas de malspam.
Falsificar la dirección del remitente de un correo electrónico se considera ampliamente como un intento de hacer que la misiva digital sea más legítima y superar los mecanismos de seguridad que, de otro modo, podrían marcarla como maliciosa.
Si bien existen salvaguardas como el correo identificado con claves de dominio (DKIM), la autenticación, informes y conformidad de mensajes basados en dominio (DMARC) y el marco de políticas del remitente (SPF) que pueden usarse para evitar que los spammers falsifiquen dominios conocidos, cada vez es más común los llevó a aprovechar dominios antiguos y abandonados en sus operaciones.
Al hacerlo, es probable que los mensajes de correo electrónico eludan los controles de seguridad que se basan en la antigüedad del dominio como medio para identificar el spam.
La firma de inteligencia de amenazas DNS, en un nuevo análisis compartido con The Hacker News, descubrió que los actores de amenazas, incluidos Muddleing Meerkat y otros, han abusado de algunos de sus propios dominios de nivel superior (TLD) antiguos y en desuso que no se han utilizado para alojar contenido durante casi 20 años.
“Carecen de la mayoría de los registros DNS, incluidos los que normalmente se utilizan para comprobar la autenticidad del dominio de un remitente, por ejemplo, los registros del Marco de políticas del remitente (SPF)”, dijo la compañía. “Los dominios son cortos y están en TLD de gran reputación”.
Una de esas campañas, activa al menos desde diciembre de 2022, implica la distribución de mensajes de correo electrónico con archivos adjuntos que contienen códigos QR que conducen a sitios de phishing. También indica a los destinatarios que abran el archivo adjunto y utilicen las aplicaciones Alipay o WeChat en sus teléfonos para escanear el código QR.
Los correos electrónicos emplean señuelos relacionados con impuestos escritos en mandarín, al mismo tiempo que bloquean los documentos con códigos QR detrás de una contraseña de cuatro dígitos incluida en el cuerpo del correo electrónico de diferentes maneras. En un caso, el sitio de phishing instó a los usuarios a ingresar sus datos de identificación y de tarjeta, y luego realizar un pago fraudulento al atacante.
“Aunque las campañas utilizan los dominios descuidados que vemos con Muddleling Meerkat, parecen falsificar en gran medida dominios aleatorios, incluso aquellos que no existen”, explicó Infoblox. “El actor puede utilizar esta técnica para evitar correos electrónicos repetidos del mismo remitente”.
La compañía dijo que también observó campañas de phishing que se hacen pasar por marcas populares como Amazon, Mastercard y SMBC para redirigir a las víctimas a páginas de inicio de sesión falsas utilizando sistemas de distribución de tráfico (TDS) con el objetivo de robar sus credenciales. Algunas de las direcciones de correo electrónico que se han identificado por utilizar dominios de remitente falsificados se enumeran a continuación:
- [email protected][.]organización
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
- [email protected][.]neto
- [email protected][.]com
Una tercera categoría de spam se relaciona con la extorsión, en la que a los destinatarios de correo electrónico se les pide que realicen un pago de $1800 en Bitcoin para eliminar videos vergonzosos de ellos mismos que fueron grabados usando un supuesto troyano de acceso remoto instalado en sus sistemas.
“El actor falsifica la propia dirección de correo electrónico del usuario y lo desafía a verificarla y verla”, Infoblox. El correo electrónico le dice al usuario que su dispositivo ha sido comprometido y, como prueba, el actor alega que el mensaje fue enviado desde la propia cuenta del usuario. “
La divulgación se produce cuando los sectores legal, gubernamental y de la construcción han sido blanco de una nueva campaña de phishing denominada Butcher Shop que tiene como objetivo robar credenciales de Microsoft 365 desde principios de septiembre de 2024.
Los ataques, según Obsidian Security, abusan de plataformas confiables como Canva, Dropbox DocSend y Google Accelerated Mobile Pages (AMP) para redirigir a los usuarios a sitios maliciosos. Algunos de los otros canales incluyen correos electrónicos y sitios de WordPress comprometidos.
“Antes de mostrar la página de phishing, se muestra una página personalizada con un torniquete de Cloudflare para verificar que el usuario es, de hecho, un humano”, dijo la empresa. dicho. “Estos torniquetes dificultan que los sistemas de protección de correo electrónico, como los escáneres de URL, detecten sitios de phishing”.
En los últimos meses, se han observado campañas de phishing por SMS que se hacen pasar por autoridades policiales en los Emiratos Árabes Unidos para enviar solicitudes de pago falsas por infracciones de tráfico, infracciones de estacionamiento y renovaciones de licencias inexistentes. Algunos de los sitios falsos creados con este fin han sido atribuido a un conocido actor de amenazas llamado Smishing Triad.
Los clientes bancarios en Medio Oriente también han sido blanco de un sofisticado esquema de ingeniería social que se hace pasar por funcionarios gubernamentales en llamadas telefónicas y emplea software de acceso remoto para robar información de tarjetas de crédito y contraseñas de un solo uso (OTP).
Se ha descubierto que la campaña, considerada obra de hablantes nativos de árabe desconocidos, está dirigida principalmente contra consumidoras a quienes se les han filtrado sus datos personales a través de malware ladrón en la web oscura.
“La estafa se dirige específicamente a personas que previamente han presentado quejas comerciales al portal de servicios gubernamentales, ya sea a través de su sitio web o aplicación móvil, en relación con productos o servicios comprados a comerciantes en línea”, Group-IB dicho en un análisis publicado hoy.
“Los estafadores se aprovechan de la voluntad de las víctimas de cooperar y obedecer sus instrucciones, con la esperanza de recibir reembolsos por sus compras insatisfactorias”.
Otra campaña identificada por Cofense implica enviar correos electrónicos que dicen ser de la Administración de la Seguridad Social de los Estados Unidos que incluyen un enlace para descargar un instalador del software de acceso remoto ConnectWise o dirigen a las víctimas a páginas de recolección de credenciales.
El desarrollo se produce cuando los dominios genéricos de nivel superior (gTLD) como .top, .xyz, .shop, .vip y .club representaron el 37% de los dominios de delitos cibernéticos reportados entre septiembre de 2023 y agosto de 2024, a pesar de tener solo el 11%. del mercado total de nombres de dominio, según un informe del grupo consultor Interisle.
Estos dominios se han vuelto lucrativos para los actores maliciosos debido a los bajos precios y la falta de requisitos de registro, lo que abre las puertas al abuso. Entre los gTLD ampliamente utilizados para el delito cibernético, 22 ofrecían tarifas de registro inferiores a 2 dólares.
También se ha descubierto que los actores de amenazas anuncian un complemento malicioso de WordPress llamado PhishWP que puede usarse para crear páginas de pago personalizables que imitan a procesadores de pagos legítimos como Stripe para robar datos personales y financieros a través de Telegram.
“Los atacantes pueden comprometer sitios web legítimos de WordPress o configurar sitios fraudulentos para instalarlo”, SlashNext dicho en un nuevo informe. “Después de configurar el complemento para imitar una pasarela de pago, los usuarios desprevenidos son atraídos a ingresar sus datos de pago. El complemento recopila esta información y la envía directamente a los atacantes, a menudo en tiempo real”.







