Una reciente ofensiva de phishing apunta a entidades de EE. UU., buscando desplegar un troyano de acceso remoto denominado NetSupport RAT. Perception Point, una compañía israelí especializada en ciberseguridad, está monitoreando estas acciones bajo el alias Operación PhantomBlu.
"A través de la Operación PhantomBlu, se ha revelado una técnica de explotación sutilmente distinta, que se aparta de los métodos de distribución habituales de NetSupport RAT. Esta estrategia se vale de la manipulación de plantillas OLE (Object Linking and Embedding), utilizando plantillas de documentos de Microsoft Office para ejecutar código dañino y simultáneamente eludir sistemas de detección", explicó Ariel Davidpur, investigador en ciberseguridad.
NetSupport RAT es una versión malintencionada del software legítimo de control remoto NetSupport Manager, que facilita a los ciberdelincuentes una variedad de operaciones para recolectar datos de sistemas comprometidos.
El ataque se inicia con un email de phishing que simula provenir del departamento de contabilidad, instando a los receptores a abrir un adjunto en Word denominado "informe salarial mensual".
Un examen detallado de los encabezados de estos correos electrónicos, especialmente en lo que respecta a los campos de Ruta de Retorno e ID de Mensaje, revela que los perpetradores están utilizando Brevo (anteriormente conocido como Sendinblue), una plataforma legítima de marketing por email, para su envío.
Al abrirse, el documento de Word pide a los usuarios que introduzcan una contraseña mencionada en el correo y activen la edición, además de hacer doble clic en el ícono de una impresora dentro del documento para acceder al supuesto gráfico salarial.
Este procedimiento desencadena la descarga de un archivo ZIP ("Chart20072007.zip") que contiene un acceso directo de Windows. Este acceso directo actúa como lanzadera de PowerShell para descargar y ejecutar el malware NetSupport RAT desde un servidor remoto.
"La innovación de la Operación PhantomBlu se evidencia en su desviación de los procedimientos tácticos y técnicos (TTP) usuales vinculados a NetSupport RAT, optando por .docs cifrados y el uso de plantillas OLE junto con técnicas de ingeniería social para una mayor evasión", añadió Davidpur.
Conoce más sobre: 8 Indicios de Correos Electrónicos Falsos: ¿Cómo Identificarlos?
Resecurity, una firma de ciberseguridad, ha señalado un incremento en el abuso de servicios de nube pública como Dropbox, GitHub, IBM Cloud, y Oracle Cloud Storage, junto con plataformas Web 3.0 basadas en el protocolo InterPlanetary File System (IPFS), como Pinata, por parte de actores maliciosos. Estos servicios son utilizados para crear enlaces de phishing completamente indetectables (FUD) mediante kits de mercado.
Proveedores ocultos en Telegram, incluidos BulletProofLink, FUDLINKSHOP, FUDSENDER, ONNX, y XPLOITRVERIFIER, comercializan estos enlaces FUD a partir de $200 mensuales, en un esquema de suscripción. Para evitar la detección, estos enlaces se fortalecen con medidas antibot que filtran el tráfico de entrada.
Adicionalmente, se emplean herramientas como HeartSender para distribuir masivamente estos enlaces FUD. El canal de Telegram de HeartSender cuenta con casi 13,000 suscriptores. "Estos enlaces FUD marcan la evolución de los servicios de phishing y la innovación en la distribución de malware", comenta la empresa, destacando el uso malintencionado de infraestructuras de alta reputación.
Por otro lado, una reciente campaña maliciosa, que utilizó Rhadamanthys Stealer para atacar al sector petrolero y gasífero, empleó una URL que aprovechaba una redirección abierta en dominios legítimos, principalmente en Google Maps y Google Images. Este método de anidación de dominios disimula las URL maliciosas, aumentando la probabilidad de engañar a las víctimas.
Te podrá interesar: Descubriendo los canales en Telegram de la Dark Web
La detección y prevención de ataques de phishing, especialmente de esta naturaleza, requieren una combinación de vigilancia, educación y tecnología. Aquí se presentan algunas recomendaciones clave:
La primera línea de defensa es la conciencia. Los usuarios deben estar informados sobre las últimas tácticas de phishing y cómo identificarlas. Esto incluye verificar siempre la URL en la barra de direcciones, buscar señales de seguridad como el candado de seguridad HTTPS, y desconfiar de cualquier solicitud inesperada de información personal o financiera.
Para los propietarios de sitios web, es crucial mantener sus sistemas actualizados y aplicar parches de seguridad de manera oportuna. Muchos ataques de phishing se basan en explotar vulnerabilidades conocidas que ya tienen soluciones disponibles.
El uso de herramientas de seguridad avanzadas, tanto para usuarios finales como para administradores de sitios web, puede ofrecer una capa adicional de protección. Esto incluye software antivirus, firewalls, un SOC como Servicio y extensiones de navegador diseñadas para detectar y bloquear sitios web maliciosos.
Implementar y utilizar la autenticación de dos factores (MFA) siempre que sea posible añade una capa adicional de seguridad, asegurando que, incluso si los datos de inicio de sesión son comprometidos, los atacantes no puedan acceder fácilmente a las cuentas sin el segundo factor de autenticación.
La evolución constante de las tácticas de phishing subraya la importancia de mantenerse informado y adoptar medidas proactivas de seguridad. A medida que los atacantes se vuelven más sofisticados, la educación del usuario y la implementación de prácticas de seguridad robustas son fundamentales para proteger información sensible. Recordemos que en la era digital, la prevención es la clave para mantener a raya a los ciberdelincuentes.