En el mundo digital de hoy, la seguridad cibernética es un tema candente y en constante evolución. Los estafadores y ciberdelincuentes continúan ideando formas cada vez más sofisticadas para engañar a las personas y robar su información personal y financiera. Uno de los últimos ejemplos de esta tendencia es la campaña de phishing conocida como BazaCall, que ha estado haciendo olas en el mundo de la seguridad cibernética en 2023. En este artículo, exploraremos en detalle qué es BazaCall, cómo funciona y cómo puedes protegerte contra esta amenaza emergente.
Evolución de BazaCall
Los actores de amenazas detrás de los ataques de phishing de devolución de llamadas de BazaCall están aprovechando Google Forms para dar una apariencia de credibilidad al esquema.
Este método busca elevar la percepción de autenticidad de los correos electrónicos maliciosos iniciales. En un informe publicado recientemente, se destacó este enfoque, que se ha convertido en una estrategia habitual de los ciberdelincuentes.
BazaCall, también conocido como BazarCall, es una serie de ataques de phishing que se detectó por primera vez a fines de 2020. En estos ataques, los objetivos reciben mensajes de correo electrónico que se hacen pasar por notificaciones de suscripción legítimas. En estos mensajes, se insta a los destinatarios a ponerse en contacto con un servicio de soporte para disputar o cancelar la suscripción, bajo la amenaza de enfrentar cargos de entre $ 50 y $ 500 si no lo hacen.
Los atacantes utilizan tácticas de manipulación psicológica, como la creación de una falsa sensación de urgencia, para convencer a las víctimas de que llamen a un número de teléfono proporcionado en el correo electrónico. Una vez en la llamada, los estafadores solicitan acceso remoto al dispositivo de la víctima a través de un software de escritorio remoto. A menudo, esto se justifica como una forma de ayudar a cancelar la supuesta suscripción.
Entre los servicios populares que se suplantan en estos ataques se encuentran Netflix, Hulu, Disney+, Masterclass, McAfee, Norton y GeekSquad.
Te podrá interesar leer: Campaña de Phishing imita a Netflix
La última variante de este ataque, identificada recientemente, utiliza un formulario creado con Google Forms como medio para compartir detalles de la supuesta suscripción. Lo astuto de esta táctica radica en que el formulario tiene habilitada la opción de "recibo de respuesta", lo que envía una copia de la respuesta al encuestado por correo electrónico. Esto permite al atacante enviar una invitación para completar el formulario él mismo y recibir las respuestas.
Un investigador de seguridad, señaló: "Debido a que el atacante habilitó la opción de recibo de respuesta, el objetivo recibirá una copia del formulario completo, que el atacante ha diseñado para que parezca una confirmación de pago para el software Norton Antivirus".
El uso de Google Forms en estos ataques es particularmente astuto porque las respuestas se envían desde la dirección "forms-receipts-noreply@google[.]com", que es un dominio de confianza. Esto aumenta la probabilidad de que los correos electrónicos eludan las puertas de enlace de correo electrónico seguras. Como se ha demostrado en una reciente campaña de phishing de Google Forms descubierta por Cisco Talos el mes pasado, los atacantes están aprovechando la confianza en este dominio para sus propios fines maliciosos.
Podría interesarte leer: Campañas de Phishing en Messenger Dirigidas a Cuentas Comerciales
Además, según el investigador de seguridad, Google Forms generalmente utiliza URL generadas dinámicamente. Esta característica en constante cambio de las URL puede evadir las medidas de seguridad tradicionales que se basan en análisis estáticos y detección basada en firmas. Estas medidas se fundamentan en patrones conocidos para identificar amenazas, lo que hace que las técnicas de phishing como las utilizadas por BazaCall sean especialmente desafiantes de detectar.
Durante el último año, un grupo disidente relacionado con Conti y un equipo de extorsión conocido como Luna Moth (también llamado Silent Ransom Group) han adoptado el método de phishing de devolución de llamadas como su vía principal de acceso inicial. Utilizan este enfoque para instalar herramientas de administración del sistema en los dispositivos de las víctimas, y posteriormente implementan otras herramientas para llevar a cabo la exfiltración de datos.
Es importante destacar que Proofpoint recientemente hizo pública una nueva campaña de phishing dirigida a los reclutadores mediante correos electrónicos directos que finalmente conducen a una puerta trasera de JavaScript conocida como More_eggs.
Esta firma de seguridad empresarial atribuyó la oleada de ataques a un "actor de amenazas financieramente motivado y altamente capacitado", que se identifica como TA4557. Este actor de amenazas tiene un historial de abuso de servicios de mensajería legítimos y utiliza correos electrónicos que ofrecen trabajos falsos como anzuelo para finalmente entregar la puerta trasera More_eggs.
En el contexto de la cadena de ataque que utiliza esta nueva técnica de correo electrónico directo, cuando el destinatario responde al correo electrónico inicial, el actor de amenazas responde con una URL que dirige al destinatario a un sitio web controlado por el actor, que simula ser el currículum de un candidato. Como alternativa, el actor también responde adjuntando un archivo en PDF o Word que contiene instrucciones para visitar el sitio web del currículum falso.
Cabe destacar que More_eggs se ofrece como un servicio de malware y es utilizado por otros grupos cibercriminales destacados, como Cobalt Group (también conocido como Cobalt Gang), Evilnum y FIN6. A principios de este año, eSentire vinculó este malware a dos operadores ubicados en Montreal y Bucarest.
Te podrá interesar leer: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Conclusión
BazaCall es un ejemplo alarmante de cómo los estafadores de phishing están evolucionando constantemente para engañar a las personas y robar su información personal. La sofisticación de esta campaña la hace especialmente peligrosa, y es esencial que todos estén preparados para reconocer y evitar estas amenazas.
La seguridad cibernética es una preocupación constante en la era digital, y debemos ser proactivos en la protección de nuestros datos y finanzas. Mantenerse informado, verificar la autenticidad de las comunicaciones y mantener la calma en situaciones sospechosas son pasos importantes para protegerse contra BazaCall y otros ataques de phishing.