Ciberdelincuentes crean su propia plataforma de streaming para distribuir malware

Seg√ļn Proofpoint, los ciberdelincuentes est√°n llevando la ingenier√≠a social al siguiente nivel en cuanto a creatividad.

Los ciberdelincuentes est√°n aprovech√°ndose de manera muy eficaz y oportuna de las plataformas de entretenimiento online para comprometer la seguridad de los usuarios a trav√©s del correo electr√≥nico y otros documentos maliciosos. Si bien en 2020, durante el confinamiento por la pandemia, se dispararon las suscripciones a servicios de streaming superando los mil millones de usuarios en todo el mundo, este a√Īo est√° disminuyendo el consumo de estos contenidos o bien se tiende m√°s a darse de alta gratis en uno de estos servicios y cancelarlo cuando finaliza el periodo de prueba. Esta tendencia en el comportamiento de los usuarios ha sido r√°pidamente explotada por los art√≠fices de una nueva campa√Īa con el downloader BazaLoader, detectada por primera vez a principios de mayo de 2021 por la empresa de ciberseguridad Proofpoint.

No obstante, en esta ocasi√≥n, “los ciberdelincuentes llevaron la ingenier√≠a social al siguiente nivel en cuanto a creatividad”, como as√≠ afirma Sherrod DeGrippo, directora s√©nior del equipo de Investigaci√≥n y Detecci√≥n de Proofpoint. ¬ŅY c√≥mo lo hicieron? Creando su propia plataforma de streaming llamada BravoMovies que inclu√≠a adem√°s un cat√°logo de pel√≠culas, aunque todas eran falsas. ‚ÄúS√≠ que hab√≠amos visto ataques en los que se utilizaban conocidas marcas de streaming para phishing de credenciales, pero esto es algo totalmente nuevo. Nunca hab√≠amos visto antes que los atacantes creasen de cero una plataforma fraudulenta de este tipo y de forma tan completa. Cada vez son m√°s creativos en sus amenazas dados los esfuerzos de las organizaciones por detener amenazas de malware que, en muchos casos, pueden derivar en incidentes de ransomware‚ÄĚ, prosigue DeGrippo.

Desde hace d√©cadas se ha comprobado la efectividad de la ingenier√≠a social como vector de ataque, de ah√≠ que siga utiliz√°ndose para desencadenar en el usuario una respuesta que le lleve a realizar una acci√≥n o serie de acciones concretas. En esta campa√Īa de BazaLoader la v√≠ctima recib√≠a un email en el cual se dec√≠a que su suscripci√≥n de prueba a BravoMovies estaba a punto de finalizar o que ya lo hab√≠a hecho y se hab√≠a modificado su perfil hacia una cuenta pr√©mium del servicio. Tambi√©n aparec√≠an n√ļmeros de tel√©fono y otras referencias a la supuesta empresa BravoMovies, as√≠ como avisos al usuario de que, si no cancelaba su suscripci√≥n, se har√≠a un cargo en su cuenta bancaria.

Descripci√≥n generada autom√°ticamente con confianza mediaEntraba aqu√≠ otra de las novedades de esta campa√Īa de BazaLoader y que subraya la importancia de la interacci√≥n humana en el actual panorama de ciberamenazas: en la cadena de infecci√≥n se inclu√≠a un servicio de atenci√≥n telef√≥nica para que las v√≠ctimas se descargasen e instalasen el malware sin saberlo. Lograr que un usuario levante el tel√©fono y haga una llamada requiere sin duda de m√°s esfuerzo por parte de los ciberdelincuentes. Seg√ļn DeGrippo, “estas estafas relacionadas con un supuesto soporte t√©cnico existen desde hace a√Īos, pero en el caso de BazaLoader se trata de un fraude m√°s personalizado que utiliza el correo electr√≥nico como cebo inicial”.

Pese a la cantidad de acciones que se requer√≠a al usuario, lo cual disminuye las posibilidades de que complete el ataque con √©xito, este enrevesado sistema ayudaba a los atacantes a eludir sistemas autom√°ticos de detecci√≥n de amenazas que advierten √ļnicamente de enlaces o archivos adjuntos maliciosos en emails. En el √ļltimo paso, cuando finalmente se consegu√≠a que el usuario entrara al sitio web fraudulento para que siguiese las indicaciones y se diese de baja en el servicio, se descargaba una hoja de Excel con macros que, una vez activados, distribu√≠an BazaLoader.

BazaLoader es un downloader en lenguaje de programaci√≥n C++ que se usa para descargar y ejecutar m√≥dulos adicionales. Proofpoint lo observ√≥ por primera vez en abril de 2020 y actualmente sirve a numerosos ciberdelincuentes para realizar ataques disruptivos de malware, incluidos los ransomware Ryuk y Conti. Seg√ļn la compa√Ī√≠a de ciberseguridad, habr√≠a muchas probabilidades de que haya una correlaci√≥n entre los atacantes que distribuyen BazaLoader y quienes lo hacen con el malware The Trick, tambi√©n conocido como Trickbot. Tanto unos como otros continuar√°n utilizando estas elaboradas t√©cnicas de ingenier√≠a social en futuras campa√Īas de amenazas.




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.