La Oficina Federal de Investigaci\u00f3n de los Estados Unidos (FBI) advirti\u00f3 sobre los ataques de ingenier\u00eda social montados por un actor de extorsi\u00f3n criminal conocido como Luna Moth dirigida a firmas de abogados en los \u00faltimos dos a\u00f1os.<\/p>\n
La campa\u00f1a aprovecha las “llamadas de ingenier\u00eda social de tecnolog\u00eda de la informaci\u00f3n (TI) y los correos electr\u00f3nicos de phishing de devoluci\u00f3n de llamada, para obtener acceso remoto a sistemas o dispositivos y robar datos confidenciales para extorsionar a las v\u00edctimas”, el FBI dicho<\/a> en un aviso.<\/p>\n Luna Moth, tambi\u00e9n llamada Chatty Spider, Silent Ransom Group (SRG), Storm-0252 y UNC3753, se sabe que est\u00e1 activo ya que al menos 2022, principalmente empleando una t\u00e1ctica llamada phishing o entrega de ataque telef\u00f3nicas y de ataque telef\u00f3nicas y la entrega de ataque con la s\u00faplica) a los usuarios que impiden que llamen a los n\u00fameros de tel\u00e9fonos que figuran en los correos electr\u00f3nicos de los benignos, relacionados con los pagos de ataques con la s\u00fabdura.<\/p>\n Vale la pena mencionar aqu\u00ed que Luna Moth se refiere al mismo equipo de pirater\u00eda que anteriormente llev\u00f3 a cabo campa\u00f1as de Bazarcall (tambi\u00e9n conocida como Bazacall) para implementar ransomware como Conti. Los actores de amenaza llegaron a su cuenta despu\u00e9s del cierre del sindicato Conti.<\/p>\n Espec\u00edficamente, los destinatarios del correo electr\u00f3nico reciben instrucciones de llamar a un n\u00famero de atenci\u00f3n al cliente para cancelar su suscripci\u00f3n premium dentro de las 24 horas para evitar incurrir en un pago. En el transcurso de la conversaci\u00f3n telef\u00f3nica, la v\u00edctima recibe un correo electr\u00f3nico con un enlace y gu\u00eda para instalar un programa de acceso remoto, dando a los actores de amenaza el acceso no autorizado a sus sistemas.<\/p>\n Armados con el acceso, los atacantes proceden a exfiltran informaci\u00f3n confidencial y env\u00edan una nota de extorsi\u00f3n a la v\u00edctima, exigiendo el pago para evitar publicar sus datos robados en un sitio filtrado o vender a otros ciberdelincuentes.<\/p>\n El FBI dijo que los actores de Luna Moth han cambiado sus t\u00e1cticas a partir de marzo de 2025 llamando a las personas de inter\u00e9s y haci\u00e9ndose pasar por empleados del departamento de TI de su empresa.<\/p>\n “SRG luego dirigir\u00e1 al empleado que se una a una sesi\u00f3n de acceso remoto, ya sea a trav\u00e9s de un correo electr\u00f3nico enviado o navegar a una p\u00e1gina web”, se\u00f1al\u00f3 la agencia. “Una vez que el empleado otorga acceso a su dispositivo, se les dice que el trabajo debe hacerse durante la noche”.<\/p>\n Se ha encontrado que los actores de amenaza, despu\u00e9s de obtener acceso al dispositivo de la v\u00edctima, intensifican privilegios y aprovechan herramientas leg\u00edtimas como RCLONE o WINSCP para facilitar la exfiltraci\u00f3n de datos.<\/p>\n El uso de herramientas genuinas de gesti\u00f3n del sistema o acceso remoto como Zoho Assist, Syncro, Anydesk, Splashtop o Atera para llevar a cabo los ataques significa que es poco probable que las herramientas de seguridad instalen en los sistemas.<\/p>\n “Si el dispositivo comprometido no tiene privilegios administrativos, WINSCP Portable se utiliza para exfiltrar los datos de las v\u00edctimas”, agreg\u00f3 el FBI. “Aunque esta t\u00e1ctica solo se ha observado recientemente, ha sido altamente efectiva y ha resultado en m\u00faltiples compromisos”.<\/p>\n Se insta a los defensores a estar atentos a las conexiones WINSCP o RClone hechas en direcciones IP externos, correos electr\u00f3nicos o correo de voz de un grupo no identificado que se rob\u00f3 datos, los correos electr\u00f3nicos con respecto a los servicios de suscripci\u00f3n que proporcionan un n\u00famero de tel\u00e9fono y requieren una llamada a<\/p>\n Eliminar los cargos de renovaci\u00f3n pendientes y las llamadas telef\u00f3nicas no solicitadas de personas que afirman trabajar en sus departamentos de TI.<\/p>\n La divulgaci\u00f3n sigue a un informe de Eclecticiq que detalla las campa\u00f1as de phishing “High-Tempo” de Luna Moth dirigidas a sectores legal y financiero de los Estados Unidos utilizando Reamaze Helpdesk y otro software de escritorio remoto.<\/p>\n Seg\u00fan la compa\u00f1\u00eda de seguridad cibern\u00e9tica holandesa, al menos 37 dominios fueron registrados por el actor de amenaza a trav\u00e9s de Godaddy en marzo, la mayor\u00eda de los cuales falsific\u00f3 los portales de asistencia de TI de las organizaciones espec\u00edficas.<\/p>\n “Luna Moth est\u00e1 utilizando principalmente dominios con tem\u00e1tica de ayuda, generalmente comenzando con el nombre de la empresa, por ejemplo, Vorys-HelpDesk[.]com, “Push silencioso dicho<\/a> En una serie de publicaciones sobre X. “Los actores est\u00e1n utilizando una gama relativamente peque\u00f1a de registradores. Los actores parecen utilizar una gama limitada de proveedores de servidores de nombres, con DomainControl[.]com ser el m\u00e1s com\u00fan “.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-piratas-informaticos-llaman-a-su-oficina-el-FBI-alerta.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n