La Oficina Federal de Investigación de los Estados Unidos (FBI) advirtió sobre los ataques de ingeniería social montados por un actor de extorsión criminal conocido como Luna Moth dirigida a firmas de abogados en los últimos dos años.
La campaña aprovecha las “llamadas de ingeniería social de tecnología de la información (TI) y los correos electrónicos de phishing de devolución de llamada, para obtener acceso remoto a sistemas o dispositivos y robar datos confidenciales para extorsionar a las víctimas”, el FBI dicho en un aviso.
Luna Moth, también llamada Chatty Spider, Silent Ransom Group (SRG), Storm-0252 y UNC3753, se sabe que está activo ya que al menos 2022, principalmente empleando una táctica llamada phishing o entrega de ataque telefónicas y de ataque telefónicas y la entrega de ataque con la súplica) a los usuarios que impiden que llamen a los números de teléfonos que figuran en los correos electrónicos de los benignos, relacionados con los pagos de ataques con la súbdura.
Vale la pena mencionar aquí que Luna Moth se refiere al mismo equipo de piratería que anteriormente llevó a cabo campañas de Bazarcall (también conocida como Bazacall) para implementar ransomware como Conti. Los actores de amenaza llegaron a su cuenta después del cierre del sindicato Conti.
Específicamente, los destinatarios del correo electrónico reciben instrucciones de llamar a un número de atención al cliente para cancelar su suscripción premium dentro de las 24 horas para evitar incurrir en un pago. En el transcurso de la conversación telefónica, la víctima recibe un correo electrónico con un enlace y guía para instalar un programa de acceso remoto, dando a los actores de amenaza el acceso no autorizado a sus sistemas.
Armados con el acceso, los atacantes proceden a exfiltran información confidencial y envían una nota de extorsión a la víctima, exigiendo el pago para evitar publicar sus datos robados en un sitio filtrado o vender a otros ciberdelincuentes.
El FBI dijo que los actores de Luna Moth han cambiado sus tácticas a partir de marzo de 2025 llamando a las personas de interés y haciéndose pasar por empleados del departamento de TI de su empresa.
“SRG luego dirigirá al empleado que se una a una sesión de acceso remoto, ya sea a través de un correo electrónico enviado o navegar a una página web”, señaló la agencia. “Una vez que el empleado otorga acceso a su dispositivo, se les dice que el trabajo debe hacerse durante la noche”.
Se ha encontrado que los actores de amenaza, después de obtener acceso al dispositivo de la víctima, intensifican privilegios y aprovechan herramientas legítimas como RCLONE o WINSCP para facilitar la exfiltración de datos.
El uso de herramientas genuinas de gestión del sistema o acceso remoto como Zoho Assist, Syncro, Anydesk, Splashtop o Atera para llevar a cabo los ataques significa que es poco probable que las herramientas de seguridad instalen en los sistemas.
“Si el dispositivo comprometido no tiene privilegios administrativos, WINSCP Portable se utiliza para exfiltrar los datos de las víctimas”, agregó el FBI. “Aunque esta táctica solo se ha observado recientemente, ha sido altamente efectiva y ha resultado en múltiples compromisos”.
Se insta a los defensores a estar atentos a las conexiones WINSCP o RClone hechas en direcciones IP externos, correos electrónicos o correo de voz de un grupo no identificado que se robó datos, los correos electrónicos con respecto a los servicios de suscripción que proporcionan un número de teléfono y requieren una llamada a
Eliminar los cargos de renovación pendientes y las llamadas telefónicas no solicitadas de personas que afirman trabajar en sus departamentos de TI.
La divulgación sigue a un informe de Eclecticiq que detalla las campañas de phishing “High-Tempo” de Luna Moth dirigidas a sectores legal y financiero de los Estados Unidos utilizando Reamaze Helpdesk y otro software de escritorio remoto.
Según la compañía de seguridad cibernética holandesa, al menos 37 dominios fueron registrados por el actor de amenaza a través de Godaddy en marzo, la mayoría de los cuales falsificó los portales de asistencia de TI de las organizaciones específicas.
“Luna Moth está utilizando principalmente dominios con temática de ayuda, generalmente comenzando con el nombre de la empresa, por ejemplo, Vorys-HelpDesk[.]com, “Push silencioso dicho En una serie de publicaciones sobre X. “Los actores están utilizando una gama relativamente pequeña de registradores. Los actores parecen utilizar una gama limitada de proveedores de servidores de nombres, con DomainControl[.]com ser el más común “.
About the Author
