La ciberseguridad se ha convertido en uno de los temas más importantes en el mundo digital. Con el auge de las redes sociales y las comunicaciones en línea, los ciberdelincuentes han encontrado nuevas formas de llevar a cabo sus actividades maliciosas. Una de las más recientes y preocupantes tendencias es el uso de plataformas populares como Messenger para dirigir campañas de phishing a cuentas comerciales. Estos ataques pueden tener consecuencias devastadoras para las empresas y sus clientes.
El phishing es una técnica utilizada por ciberdelincuentes para engañar a los usuarios y obtener información confidencial, como contraseñas o datos bancarios. Estos ataques suelen realizarse mediante el envío de correos electrónicos o mensajes falsificados que parecen provenir de fuentes legítimas.
Te podría interesar leer: Protección de Phishing: No Muerdas el Anzuelo
Mientras que el phishing por correo electrónico ha sido una preocupación durante muchos años, el uso de aplicaciones de mensajería como Messenger para llevar a cabo estos ataques es relativamente nuevo. La popularidad y la confianza que los usuarios depositan en estas plataformas hacen que sean un blanco atractivo para los delincuentes.
Las cuentas comerciales, en particular, están en el punto de mira debido a la gran cantidad de información valiosa que gestionan. Un ataque exitoso puede resultar en el acceso a datos de clientes, transacciones financieras y otros detalles cruciales.
Delincuentes cibernéticos recientemente han iniciado un ataque masivo dirigido a cuentas de negocios en Facebook. Utilizan Messenger para enviar advertencias falsas sobre supuestas violaciones a las políticas del servicio y proporcionar enlaces con archivos infectados que contienen un script diseñado para robar 'cookies' y contraseñas.
Se ha identificado que este grupo de agresores opera desde Vietnam y, según investigaciones, habrían logrado vulnerar a miles de empresas y entidades por medio de la técnica de 'phishing' en el servicio de mensajería de Facebook. Este grupo de cibercriminales, han enfocado sus esfuerzos principalmente en Norteamérica, Europa y Oceanía.
Te podría interesar leer: Protección contra el Robo de Cookies
Para esquivar sistemas de detección, los criminales en línea adaptan continuamente los mensajes que envían, variando tanto el contenido como el asunto, y modificando los nombres de archivo al añadir caracteres Unicode. Este método les permite evadir herramientas ‘antispam’.
El archivo malintencionado (project.py) se almacena en formatos RAR o ZIP y contiene un solo documento en su interior. Un grupo de investigadores identificó uno de estos ‘scripts’ que utilizaba un proceso secuencial, es decir, ejecución línea por línea. Este archivo funcionaba como un ‘dropper’, un tipo de ‘malware’ que descarga un archivo ejecutable.
De esta manera, el primer archivo descarga un segundo archivo ZIP, usualmente guardado en sitios de código abierto como GitHub o GitLab. Este último tiene otro script secuencial que se ejecuta de inmediato con una codificación específica.
El contenido está codificado al inicio y al final en UTF-16LE, mientras que la mayoría de los caracteres son ASCII. Los expertos mencionan que es "una táctica astuta para esconder instrucciones secuenciales" de sistemas de escaneo automatizado, impidiendo la detección temprana del ataque.
Este ‘script’ secuencial, al ejecutarse, activa todas sus instrucciones, tanto las inofensivas como las dañinas. Estas últimas utilizan el ambiente Python para extraer ‘cookies’ y credenciales, incluyendo usuarios y contraseñas del navegador de las víctimas.
Luego de recolectar estos datos, se transmiten a un canal en Telegram o Discord mediante la API del ‘bot’ de dichas plataformas. El ‘script’ no solo sustrae la información, sino que también borra todas las ‘cookies’, resultando en el cierre de sesión de las víctimas. Es entonces cuando los delincuentes toman control de las cuentas, cambiando las contraseñas para apropiárselas.
Los expertos en ciberseguridad afirman que estos criminales cuentan con "un vasto número de ‘bots’ y perfiles ficticios", además de una lista con millones de cuentas y páginas de empresas. Esto les facilita enviar más de 100.000 mensajes de ‘phishing’ globalmente cada semana.
Podría interesarte leer: Detección de Ataques de Phishing con Wazuh
Educa a tu equipo: Asegúrate de que todos los miembros de tu equipo estén al tanto de los riesgos del phishing y sepan cómo reconocer mensajes sospechosos.
Evita hacer clic en enlaces desconocidos: Si recibes un mensaje de una fuente desconocida o no esperada, evita hacer clic en cualquier enlace o descargar archivos adjuntos.
Actualiza tus sistemas: Asegúrate de que todos tus sistemas y aplicaciones estén actualizados para protegerte contra vulnerabilidades conocidas.
Utiliza soluciones de seguridad: Implementa soluciones de seguridad que monitoreen y bloqueen amenazas potenciales en tiempo real.
Te podría interesar leer: ¿Qué es un SOC como Servicio?
En un mundo cada vez más digitalizado, es esencial estar informado y preparado contra las amenazas cibernéticas. Las campañas de phishing en Messenger dirigidas a cuentas comerciales son solo una de las muchas técnicas que utilizan los ciberdelincuentes. Al estar alerta, educarse y tomar las precauciones necesarias, puedes proteger tu negocio y a tus clientes de estos ataques.