Los actores de amenazas detrás del BazaCall Se han observado ataques de phishing de devolución de llamadas aprovechando Google Forms para darle al esquema un barniz de credibilidad.
El método es un «intento de elevar la autenticidad percibida de los correos electrónicos maliciosos iniciales», dijo la firma de ciberseguridad Abnormal Security. dicho en un informe publicado hoy.
BazaCall (también conocido como BazarCall), que se observó por primera vez en 2020, se refiere a una serie de ataques de phishing en los que se envían a los objetivos mensajes de correo electrónico que se hacen pasar por avisos de suscripción legítimos, instándolos a comunicarse con un servicio de soporte para disputar o cancelar el plan, o arriesgarse a ser Se cobra entre $ 50 y $ 500.
Al inducir una falsa sensación de urgencia, el atacante convence al objetivo mediante una llamada telefónica para que le otorgue capacidades de acceso remoto utilizando un software de escritorio remoto y, en última instancia, establezca persistencia en el host con el pretexto de ofrecer ayuda para cancelar la supuesta suscripción.
Algunos de los servicios populares que se suplantan incluyen Netflix, Hulu, Disney+, Masterclass, McAfee, Norton y GeekSquad.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
En la última variante de ataque detectada por Abnormal Security, un formulario creado con Google Forms se utiliza como conducto para compartir detalles de la supuesta suscripción.
Vale la pena señalar que el formulario tiene habilitados los recibos de respuesta, lo que envía una copia de la respuesta al encuestado por correo electrónico, de modo que el atacante pueda enviar una invitación para completar el formulario él mismo y recibir las respuestas.
«Debido a que el atacante habilitó la opción de recibo de respuesta, el objetivo recibirá una copia del formulario completo, que el atacante ha diseñado para que parezca una confirmación de pago para el software Norton Antivirus», dijo el investigador de seguridad Mike Britton.
El uso de Google Forms también es inteligente porque las respuestas se envían desde la dirección «forms-receipts-noreply@google[.]com», que es un dominio confiable y, por lo tanto, tiene una mayor probabilidad de eludir puertas de enlace de correo electrónico seguras, como lo demuestra una reciente campaña de phishing de Google Forms descubierta por Cisco Talos el mes pasado.
«Además, Google Forms suele utilizar URL generadas dinámicamente», explicó Britton. «La naturaleza en constante cambio de estas URL puede evadir las medidas de seguridad tradicionales que utilizan análisis estático y detección basada en firmas, que se basan en patrones conocidos para identificar amenazas».
El actor de amenazas apunta a los reclutadores con la puerta trasera More_eggs
La revelación llega cuando Proofpoint reveló una nueva campaña de phishing dirigida a los reclutadores con correos electrónicos directos que en última instancia conducen a una puerta trasera de JavaScript conocida como More_eggs.
La firma de seguridad empresarial atribuyó la ola de ataques a un «actor de amenazas capacitado y motivado financieramente» al que rastrea como TA4557que tiene un historial de abusar de servicios de mensajería legítimos y ofrecer trabajos falsos por correo electrónico para, en última instancia, entregar la puerta trasera More_eggs.
«Específicamente en la cadena de ataque que utiliza la nueva técnica de correo electrónico directo, una vez que el destinatario responde al correo electrónico inicial, se observó que el actor respondía con una URL que enlazaba a un sitio web controlado por el actor haciéndose pasar por el currículum de un candidato», Proofpoint dicho.
«Alternativamente, se observó al actor respondiendo con un archivo adjunto en PDF o Word que contenía instrucciones para visitar el sitio web del currículum falso».
More_eggs se ofrece como malware como servicio y lo utilizan otros grupos cibercriminales destacados como Cobalt Group (también conocido como Cobalt Gang), Evilnum y FIN6. A principios de este año, eSentire vinculó el malware a dos operadores de Montreal y Bucarest.