Los cazadores de amenazas han expuesto una campa\u00f1a novedosa que utiliza t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para dirigirse a dispositivos m\u00f3viles de empleados y facilitar el fraude de n\u00f3mina.<\/p>\n
La actividad, detectada por primera vez por Reliaquest en mayo de 2025 dirigida a un cliente sin nombre en el sector manufacturero, se caracteriza por el uso de p\u00e1ginas de inicio de sesi\u00f3n falsas para acceder al portal de n\u00f3mina de los empleados y redirigir los cheques de pago en cuentas bajo el control del actor de la amenaza.<\/p>\n
“La infraestructura del atacante utiliz\u00f3 enrutadores de la oficina domiciliaria comprometida y redes m\u00f3viles para enmascarar su tr\u00e1fico, esquivar la detecci\u00f3n y pasar las medidas de seguridad tradicionales”, la compa\u00f1\u00eda de seguridad cibern\u00e9tica dicho<\/a> En un an\u00e1lisis publicado la semana pasada.<\/p>\n “El adversario se dirigi\u00f3 espec\u00edficamente a los dispositivos m\u00f3viles de los empleados con un sitio web falso que se hace pasar por la p\u00e1gina de inicio de sesi\u00f3n de la organizaci\u00f3n. Armado con credenciales robadas, el adversario obtuvo acceso al portal de n\u00f3mina de la organizaci\u00f3n, cambi\u00f3 la informaci\u00f3n de dep\u00f3sito directo y redirigi\u00f3 los cheques de pago de los empleados en sus propias cuentas”.<\/p>\n Si bien los ataques no se han atribuido a un grupo de pirater\u00eda espec\u00edfico, Reliaquest dijo que es parte de una campa\u00f1a m\u00e1s amplia y continua debido a dos incidentes similares que investig\u00f3 a fines de 2024.<\/p>\n Todo comienza cuando un empleado busca el portal de n\u00f3mina de su empresa en los motores de b\u00fasqueda como Google, con sitios web mirados enga\u00f1osos que aparecen en la parte superior de los resultados utilizando enlaces patrocinados. Aquellos que terminan haciendo clic en los enlaces falsos conducen a un sitio de WordPress que redirige a una p\u00e1gina de phishing que imita un portal de inicio de sesi\u00f3n de Microsoft cuando se lo visita desde un dispositivo m\u00f3vil.<\/p>\n Las credenciales ingresadas en la p\u00e1gina de destino falsa se exfiltran posteriormente a un sitio web controlado por el atacante, al tiempo que establece una conexi\u00f3n WebSocket de dos v\u00edas para alertar al actor de amenaza de las contrase\u00f1as robadas utilizando una API de notificaciones push impulsadas por Arribista<\/a>.<\/p>\n Esto les da a los atacantes la oportunidad de reutilizar las credenciales lo antes posible antes de que se cambien y obtengan acceso no autorizado al sistema de n\u00f3mina.<\/p>\n Adem\u00e1s de eso, la orientaci\u00f3n de dispositivos m\u00f3viles de los empleados ofrece dos ventajas, ya que carecen de medidas de seguridad de grado empresarial que generalmente est\u00e9n disponibles en las computadoras de escritorio y se conectan fuera de la red corporativa, reduciendo efectivamente la visibilidad y obstaculizando los esfuerzos de investigaci\u00f3n.<\/p>\n “Al atacar dispositivos m\u00f3viles sin protecci\u00f3n que carecen de soluciones de seguridad y registro, esta t\u00e1ctica no solo evade la detecci\u00f3n sino que tambi\u00e9n interrumpe los esfuerzos para analizar el sitio web de phishing”, dijo Reliaquest. “Esto evita que los equipos de seguridad escaneen el sitio y lo agregen a los indicadores de alimentos de amenaza de compromiso (COI), lo que complica a\u00fan m\u00e1s los esfuerzos de mitigaci\u00f3n”.<\/p>\n En un intento adicional de evitar la detecci\u00f3n, se ha encontrado que los intentos de inicio de sesi\u00f3n malicioso se originan en direcciones IP residenciales asociadas con enrutadores de la oficina en el hogar, incluidas las de marcas como Asus y Pakedge.<\/p>\n Esto indica que los actores de amenaza est\u00e1n explotando debilidades como defectos de seguridad, credenciales predeterminadas u otras configuraciones err\u00f3neas a menudo que afectan a dichos dispositivos de red para lanzar ataques de fuerza bruta. Los enrutadores comprometidos se infectan con malware que los alistan en botNets proxy, que finalmente se alquilan a los cibercriminales.<\/p>\n “Cuando los atacantes usan redes proxy, especialmente las vinculadas a las direcciones IP residenciales o m\u00f3viles, se vuelven mucho m\u00e1s dif\u00edciles de detectar e investigar las organizaciones”, dijo Reliaquest. “A diferencia de las VPN, que a menudo se marcan porque sus direcciones IP han sido abusadas antes, las direcciones IP residenciales o m\u00f3viles permiten a los atacantes volar bajo el radar y evitar ser clasificados como maliciosos”.<\/p>\n “Adem\u00e1s, las redes proxy permiten a los atacantes hacer que su tr\u00e1fico parezca que se origina en la misma ubicaci\u00f3n geogr\u00e1fica que la organizaci\u00f3n objetivo, evitando las medidas de seguridad dise\u00f1adas para marcar los inicios de ubicaciones inusuales o sospechosas”.<\/p>\n La divulgaci\u00f3n viene como Hunt.io detallado<\/a> Una campa\u00f1a de phishing que emplea una p\u00e1gina web falsa del servicio de archivos compartidos de Adobe para robar las credenciales de inicio de sesi\u00f3n de Microsoft Outlook con el pretexto de permitir el acceso a los archivos supuestamente compartidos por un contacto. Las p\u00e1ginas, seg\u00fan la empresa, se desarrollan utilizando el kit de phishing W3LL.<\/p>\n Tambi\u00e9n coincide con el descubrimiento de un nuevo kit de phishing con nombre en c\u00f3digo Cogui que se est\u00e1 utilizando para atacar activamente a las organizaciones japonesas al hacerse pasar por marcas de consumidores y finanzas como Amazon, PayPay, MyJCB, Apple, Oriico y Rakuten. Se han enviado hasta 580 millones de correos electr\u00f3nicos entre enero y abril de 2025 como parte de las campa\u00f1as que usan el kit.<\/p>\n “Cogui es un kit sofisticado que emplea t\u00e9cnicas de evasi\u00f3n avanzada, que incluyen geofencing, esgrima de encabezados y huellas dactilares para evitar la detecci\u00f3n de sistemas de navegaci\u00f3n automatizados y cajas de arena”, la empresa de seguridad empresarial Pruebepoint dicho<\/a> en un an\u00e1lisis publicado este mes. “El objetivo de las campa\u00f1as es robar nombres de usuario, contrase\u00f1as y datos de pago”.<\/p>\n Los correos electr\u00f3nicos de phishing observados en los ataques incluyen enlaces que conducen a sitios web de credenciales de phishing. Dicho esto, es notable que las campa\u00f1as de Cogui no incluyan capacidades para recopilar c\u00f3digos de autenticaci\u00f3n multifactor (MFA).<\/p>\n Se dice que Cogui fue utilizado desde al menos octubre de 2024, y se cree que comparte algunas similitudes con otro conocido kit de herramientas de phishing con el nombre de Darcula, lo que sugiere que el primero podr\u00eda ser parte del mismo ecosistema de Phaas chino denominado Tr\u00edada Smithing Smithing que tambi\u00e9n incluye a Lucid y Lightthouse.<\/p>\n Dicho esto, un aspecto crucial que separa a Darcula de Cogui es que el primero se centra m\u00e1s en los dispositivos m\u00f3viles y el amordazos, y tiene como objetivo robar detalles de la tarjeta de cr\u00e9dito.<\/p>\n “Darcula se est\u00e1 volviendo m\u00e1s accesible, tanto en t\u00e9rminos de costo como de disponibilidad, por lo que podr\u00eda representar una amenaza significativa en el futuro”, dijo ProDaft a The Hacker News en un comunicado. “Por otro lado, Lucid contin\u00faa permaneciendo bajo el radar. Sigue siendo dif\u00edcil identificar kits de phishing solo mirando mensajes SMS o patrones de URL, ya que a menudo usan servicios de entrega comunes”.<\/p>\n Otro nuevo kit de strishing personalizable que ha surgido del panorama chino del delito cibern\u00e9tico es Panda Shop, que utiliza una red de canales de telegrama y bots interactivos para automatizar la prestaci\u00f3n de servicios. Las p\u00e1ginas de phishing est\u00e1n dise\u00f1adas para imitar marcas populares y servicios gubernamentales para robar informaci\u00f3n personal. Los datos de la tarjeta de cr\u00e9dito interceptado se env\u00edan a las tiendas de cartas subterr\u00e1neas y se venden a otros cibercriminales.<\/p>\n “En particular, los sindicatos cibercrimenales chinos involucrados en el amordazamiento son descarados porque se sienten intocables” dicho<\/a>. “Han enfatizado en sus comunicaciones que no les importan las agencias de aplicaci\u00f3n de la ley de los Estados Unidos. Residiendo en China, disfrutan de completa libertad de acci\u00f3n y participan en muchas actividades ilegales”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-empleados-que-buscan-portales-de-nomina-en-Google-enganaron.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n