Una prolífica campaña de phishing intenta engañar a las personas haciéndoles creer que se han suscrito a un servicio de transmisión de películas para obligarlas a llamar a un número de teléfono para cancelar, donde alguien los guiará a través de un procedimiento que infecta su computadora con el malware BazaLoader.
BazaLoader crea una puerta trasera en las máquinas con Windows que se puede utilizar como un vector de acceso inicial para lanzar ataques de malware adicionales, incluido el ransomware. El notorio ransomware Ryuk se entrega comúnmente a través de BazaLoader, lo que significa que un compromiso exitoso por parte de los ciberdelincuentes podría tener consecuencias extremadamente dañinas.
La última campaña de BazaLoader se basa en la interacción humana y una intrincada cadena de ataque que reduce la posibilidad de que se detecte el malware.
Detallada por investigadores de ciberseguridad en Proofpoint, la primera etapa de la campaña implica la distribución de decenas de miles de correos electrónicos de phishing que afirman provenir de ‘BravoMovies’, un servicio de transmisión de video falso creado por delincuentes cibernéticos.
El sitio web parece convincente y los que están detrás de él incluso han hecho carteles de películas falsos utilizando imágenes de código abierto disponibles en línea, aunque la forma en que el sitio web contiene varios errores ortográficos podría indicar que algo no está bien si el visitante mira con atención.
El correo electrónico afirma que la víctima se registró para un período de prueba y se les cobrará $ 39.99 por mes, pero esa supuesta suscripción puede cancelarse si llaman a una línea de soporte.
Si el usuario llama al número, está conectado con un representante de ‘servicio al cliente’ que afirmará que lo guiará a través del proceso de cancelación de la suscripción, pero lo que en realidad está haciendo es decirle a la víctima involuntaria cómo instalar BazaLoader en su computadora.
Lo hacen guiando a la persona que llama al centro de llamadas de una página de “Suscripción”, donde parte del proceso los anima a hacer clic en un enlace que descarga una hoja de cálculo de Microsoft Excel.
Este documento contiene macros que, si están habilitadas, descargarán secretamente BazaLoader en la máquina e infectarán la PC de la víctima con malware. Si bien esto requiere un mayor esfuerzo por parte de los atacantes, dirigir a los usuarios hacia una carga útil lejos del correo electrónico de phishing inicial hace que el malware sea más difícil de detectar durante el proceso de descarga e instalación.
“Los archivos adjuntos maliciosos a menudo son bloqueados por el software de detección de amenazas. Al indicar a las personas que llamen al centro de llamadas como parte de la cadena de ataque, los actores de amenazas pueden eludir los mecanismos de detección de amenazas que de otro modo marcarían sus archivos adjuntos como spam”, Sherrod DeGrippo, director senior investigación y detección de amenazas en Proofpoint, dijo a ZDNet.
“Sin embargo, hacerlo reduce significativamente la probabilidad de que una víctima interactúe con el contenido y requiere más tiempo y esfuerzo por parte de los actores de la amenaza”.
Pero para los atacantes, podría ser que el menor riesgo de que se descubra el ataque haga que el esfuerzo adicional valga la pena al final. “La ingeniería social es la clave de esta cadena de ataque y los actores de amenazas dependen de sus señuelos de ingeniería social para hacer que los destinatarios tomen una acción para completar la cadena de ataque y obtener el malware en la máquina del objetivo”, dijo DeGrippo.
Para ayudar a proteger a los usuarios, y a la organización en general, de los ataques de phishing y la ingeniería social, los equipos de seguridad de la información deben capacitar a los usuarios para detectar e informar correos electrónicos maliciosos.
También vale la pena señalar que, si bien es sorprendente recibir un correo electrónico que dice que se le cobrará a su tarjeta de crédito si no responde, crear una sensación de urgencia como esta es una técnica común utilizada en las campañas de phishing para engañar al usuario para que deje su guardia abajo y siguiendo las instrucciones.
Fuente: www.cybernota.com