Una nueva campaña de phishing está dirigida a compradores de comercio electrónico en Europa y Estados Unidos con páginas falsas que imitan marcas legítimas con el objetivo de robar su información personal antes de la temporada de compras del Black Friday.
“La campaña aprovechó la mayor actividad de compras en línea en noviembre, la temporada alta de descuentos del Viernes Negro. El actor de amenazas utilizó productos con descuentos falsos como señuelos de phishing para engañar a las víctimas para que proporcionaran sus datos de titular de tarjeta (CHD) y datos de autenticación confidenciales (SAD) y datos personales. Información identificable (PII)”, EclecticIQ dicho.
La actividad, observada por primera vez a principios de octubre de 2024, se ha atribuido con gran confianza a un actor de amenazas chino con motivación financiera cuyo nombre en código es SilkSpecter. Algunas de las marcas suplantadas incluyen IKEA, LLBean, North Face y Wayfare.
Se ha descubierto que los dominios de phishing utilizan dominios de nivel superior (TLD) como .top, .shop, .store y .vip, y a menudo utilizan errores tipográficos en los nombres de dominio de organizaciones de comercio electrónico legítimas como una forma de atraer a las víctimas (por ejemplo, northfaceblackfriday[.]comercio). Estos sitios web promocionan descuentos inexistentes, mientras recopilan sigilosamente información de los visitantes.
La flexibilidad y credibilidad del kit de phishing se mejoran mediante un componente de Google Translate que modifica dinámicamente el idioma del sitio web según los marcadores de geolocalización de las víctimas. También implementa rastreadores como OpenReplay, TikTok Pixel y Meta Pixel para controlar la efectividad de los ataques.
El objetivo final de la campaña es capturar cualquier información financiera confidencial ingresada por los usuarios como parte de pedidos falsos, y los atacantes abusan de Stripe para procesar las transacciones y darles una ilusión de legitimidad, cuando, en realidad, los datos de la tarjeta de crédito son exfiltrados a servidores bajo su control.
Es más, se solicita a las víctimas que proporcionen sus números de teléfono, una medida que probablemente esté motivada por los planes del actor de la amenaza de realizar ataques posteriores de smishing y vishing para capturar detalles adicionales, como códigos de autenticación de dos factores (2FA).
“Al hacerse pasar por entidades confiables, como instituciones financieras o plataformas de comercio electrónico conocidas, SilkSpecter muy probablemente podría eludir las barreras de seguridad, obtener acceso no autorizado a las cuentas de las víctimas e iniciar transacciones fraudulentas”, dijo EclecticIQ.
Actualmente no está claro cómo se difunden estas URL, pero se sospecha que involucra cuentas de redes sociales y envenenamiento de optimización de motores de búsqueda (SEO).
Los hallazgos se producen semanas después de que el equipo de investigación e inteligencia de amenazas Satori de HUMAN detallara otra operación de fraude en curso y en expansión denominada Phish ‘n’ Ships que gira en torno a tiendas web falsas que también abusan de proveedores de pagos digitales como Mastercard y Visa para desviar el dinero y la información de las tarjetas de crédito de los consumidores. .
Se dice que el esquema fraudulento está activo desde 2019, infectando más de 1000 sitios legítimos para crear listados de productos falsos y utilizar tácticas de SEO de sombrero negro para mejorar artificialmente la clasificación del sitio web en los resultados de los motores de búsqueda. Desde entonces, los procesadores de pagos bloquearon las cuentas de los actores de amenazas, restringiendo su capacidad de retirar dinero.
“El proceso de pago luego se ejecuta a través de una tienda web diferente, que se integra con uno de los cuatro procesadores de pago para completar el pago”, dijo la compañía. “Y aunque el dinero del consumidor pasará al actor de la amenaza, el artículo nunca llegará”.
El uso de envenenamiento de SEO para redirigir a los usuarios a páginas de comercio electrónico falsas es un fenómeno generalizado. Según Trend Micro, estos ataques implican la instalación de malware SEO en sitios comprometidos, que luego son responsables de garantizar que las páginas aparezcan en los primeros resultados de los motores de búsqueda.
“Este malware SEO se instala en sitios web comprometidos para interceptar solicitudes del servidor web y devolver contenidos maliciosos”, dijo la empresa. anotado. “Al hacerlo, los actores de amenazas pueden enviar un mapa del sitio diseñado a los motores de búsqueda e indexar páginas señuelo generadas”.
“Esto contamina los resultados de búsqueda, haciendo que las URL de los sitios web comprometidos aparezcan en búsquedas de nombres de productos que en realidad no manejan. En consecuencia, los usuarios de los motores de búsqueda son dirigidos a visitar estos sitios. Luego, el malware SEO intercepta el controlador de solicitudes y redirige el navegador del usuario. a sitios de comercio electrónico falsos”.
Aparte del fraude relacionado con las compras, los usuarios del servicio postal en la región de los Balcanes se han convertido en el objetivo de una estafa de entrega fallida que utiliza Apple iMessage para enviar mensajes que dicen ser del servicio postal, instruyendo a los destinatarios a hacer clic en un enlace para ingresar datos personales. e información financiera para poder completar la entrega.
“Luego se pediría a las víctimas que proporcionen su información personal, incluido su nombre, dirección residencial o comercial e información de contacto, que los ciberdelincuentes recopilarán y utilizarán para futuros intentos de phishing”, Group-IB dicho.
“Sin lugar a dudas, una vez que las víctimas realizan el pago, el dinero es irrecuperable y los ciberdelincuentes se vuelven imposibles de contactar, lo que resulta en la pérdida de información personal y dinero de sus víctimas”.
About the Author
