
Los investigadores de ciberseguridad han revelado un nuevo kit de phishing que se ha utilizado en campañas dirigidas a Australia, Japón, España, el Reino Unido y los EE. UU. desde al menos septiembre de 2024.
Netcraft dijo que se han identificado más de 2.000 sitios web de phishing con el kit, conocido como Xiū gǒu, cuya oferta se utiliza en ataques dirigidos a una variedad de verticales, como sectores públicos, servicios postales, digitales y bancarios.
“Los actores de amenazas que utilizan el kit para implementar sitios web de phishing a menudo dependen de las capacidades de ofuscación de hosting y anti-bot de Cloudflare para evitar la detección”, Netcraft. dicho en un informe publicado el jueves.
Algunos aspectos del kit de phishing fueron documentados por investigadores de seguridad. Will Tomás (@ BushidoToken) y fox_threatintel (@banthisguy9349) en septiembre de 2024.
Los kits de phishing como Xiū gǒu plantean un riesgo porque podrían reducir la barrera de entrada para piratas informáticos menos capacitados, lo que podría provocar un aumento de campañas maliciosas que podrían conducir al robo de información confidencial.
Xiū gǒu, desarrollado por un actor de amenazas de habla china, proporciona a los usuarios un panel de administración y se desarrolla utilizando tecnologías como Golang y Vue.js. El kit también está diseñado para extraer credenciales y otra información de páginas de phishing falsas alojadas en el dominio de nivel superior “.top” a través de Telegram.
Los ataques de phishing se propagan a través de mensajes de Rich Communications Services (RCS) en lugar de SMS, advirtiendo a los destinatarios sobre supuestas sanciones de estacionamiento y entregas fallidas de paquetes. Los mensajes también les indican que hagan clic en un enlace acortado mediante un servicio de acortamiento de URL para pagar la multa o actualizar la dirección de entrega.
“Las estafas suelen manipular a las víctimas para que proporcionen sus datos personales y realicen pagos, por ejemplo, para liberar un paquete o cumplir una multa”, dijo Netcraft.
RCS, que está disponible principalmente a través de Apple Messages (comenzando con iOS 18) y Mensajes de Google para Android, ofrece a los usuarios una experiencia de mensajería mejorada con soporte para compartir archivos, indicadores de escritura y soporte opcional para cifrado de extremo a extremo (E2EE).
En una publicación de blog a fines del mes pasado, el gigante tecnológico detallado las nuevas protecciones que está adoptando para combatir las estafas de phishing, incluida la implementación de una detección mejorada de estafas utilizando modelos de aprendizaje automático en el dispositivo para filtrar específicamente mensajes fraudulentos relacionados con la entrega de paquetes y las oportunidades laborales.
Google también dijo que está poniendo a prueba advertencias de seguridad cuando los usuarios en India, Tailandia, Malasia y Singapur reciben mensajes de texto de remitentes desconocidos con enlaces potencialmente peligrosos. Las nuevas protecciones, que se espera que se expandan globalmente a finales de este año, también bloquean mensajes con enlaces de remitentes sospechosos.
Por último, la empresa de búsqueda está agregando la opción de “ocultar automáticamente mensajes de remitentes internacionales que no son contactos existentes” moviéndolos a la carpeta “Spam y bloqueados”. La función se habilitó por primera vez como prueba piloto en Singapur.
La divulgación se produce cuando Cisco Talos reveló que los usuarios de cuentas comerciales y publicitarias de Facebook en Taiwán están siendo atacados por un actor de amenazas desconocido como parte de una campaña de phishing diseñada para entregar malware ladrón como Lumma o Rhadamanthys.
Los mensajes señuelo vienen incrustados con un enlace que, cuando se hace clic, lleva a la víctima a un dominio de Dropbox o Google Appspot, lo que activa la descarga de un archivo RAR que contiene un ejecutable PDF falso, que sirve como conducto para eliminar el malware ladrón.
“El correo electrónico señuelo y los nombres de archivos PDF falsos están diseñados para hacerse pasar por el departamento legal de una empresa, intentando atraer a la víctima para que descargue y ejecute malware”, dijo el investigador de Talos, Joey Chen. dichoy agregó que la actividad ha estado en curso desde julio de 2024.
“Los correos electrónicos exigen la eliminación del contenido infractor en un plazo de 24 horas, el cese de su uso sin permiso por escrito y advierten sobre posibles acciones legales y reclamaciones de compensación por incumplimiento”.
También se han observado campañas de phishing que se hacen pasar por OpenAI y se dirigen a empresas de todo el mundo, indicándoles que actualicen inmediatamente su información de pago haciendo clic en un hipervínculo ofuscado.
“Este ataque se envió desde un único dominio a más de 1.000 destinatarios”, Barracuda dicho en un informe. “Sin embargo, el correo electrónico utilizó diferentes hipervínculos dentro del cuerpo del correo electrónico, posiblemente para evadir la detección. El correo electrónico pasó las comprobaciones DKIM y SPF, lo que significa que el correo electrónico fue enviado desde un servidor autorizado para enviar correos electrónicos en nombre del dominio. Sin embargo, el dominio en sí es sospechoso.”







