Se ha observado una campaña de phishing generalizada aprovechando los documentos PDF falsos alojados en la red de entrega de contenido de flujo web (CDN) con el objetivo de robar información de la tarjeta de crédito y cometer fraude financiero.
“El atacante apunta a las víctimas que buscan documentos en los motores de búsqueda, lo que resulta en el acceso a PDF malicioso que contiene una imagen de Captcha integrada con un enlace de phishing, lo que los lleva a proporcionar información confidencial”, el investigador de Labs de Netskope Jan Michael Alcantara dicho.
La actividad, en curso desde la segunda mitad de 2024, implica a los usuarios que buscan títulos de libros, documentos y gráficos en motores de búsqueda como Google para redirigir a los usuarios a los archivos PDF alojados en Webflow CDN.
Estos archivos PDF vienen integrados con una imagen que imita un desafío Captcha, haciendo que los usuarios que hacen clic en ella se llevan a una página de phishing que, esta vez, aloja una verdadera captcha de tendencia de Cloudflare.
Al hacerlo, los atacantes apuntan a prestar el proceso una apariencia de legitimidad, engañando a las víctimas para que piensen que habían interactuado con un control de seguridad, al tiempo que evade la detección de escáneres estáticos.
Los usuarios que completan el Genuine Captcha Challenge se redirigen posteriormente a una página que incluye un botón “Descargar” para acceder al supuesto documento. Sin embargo, cuando las víctimas intentan completar el paso, reciben un mensaje emergente pidiéndoles que ingresen sus datos personales y de tarjeta de crédito.
“Al ingresar los detalles de la tarjeta de crédito, el atacante enviará un mensaje de error para indicar que no fue aceptado”, dijo Michael Alcantara. “Si la víctima envía los detalles de su tarjeta de crédito dos o tres veces más, serán redirigidos a una página de error HTTP 500”.
El desarrollo se produce cuando SlashNext detalló un nuevo kit de phishing llamado Astaroth (que no debe confundirse con un malware bancario del mismo nombre) que se anuncia en los mercados de telegrama y del delito cibernético por $ 2,000 a cambio de seis meses de actualizaciones y técnicas de omisión.
Al igual que las ofertas de Phishing-As-A-Service (PHAAS), permite a los ciber a los ciberdechos la capacidad de cosechar credenciales y códigos de autenticación de dos factores (2FA) a través de páginas de inicio de sesión falsas que imitan los servicios en línea populares.
“Astaroth utiliza un proxy inverso al estilo EvilGinx para interceptar y manipular el tráfico entre las víctimas y los servicios de autenticación legítimos como Gmail, Yahoo y Microsoft”, el investigador de seguridad Daniel Kelley dicho. “Actuando como un hombre en el medio, captura credenciales de inicio de sesión, fichas y cookies de sesión en tiempo real, sin pasar por alto 2FA”.
About the Author
