La Oficina Federal de Investigación de los Estados Unidos (FBI) advirtió sobre los ataques de ingeniería social empleados por un actor criminal de Tor conocido como Luna Moth, que ha atacado a las firmas de abogados durante los últimos dos años.
La campaña «utiliza llamadas de ingeniería social con tecnología de la información (TI) y correos electrónicos de phishing de devolución de llamada para obtener acceso remoto a sistemas o dispositivos y robar datos confidenciales que obligan a las víctimas», dijo el FBI en su asesoramiento.
Se sabe que Luna Moth, también conocida como Chatty Spider, Silent Ransom Group (SRG), Storm-0252 y UNC3753, está activo desde al menos 2022.
Vale la pena mencionar aquí que Luna Moth se refiere al mismo equipo de piratería que anteriormente dirigió la campaña Bazarcall (también conocida como Bazacall), y que está desplegando ransomware como Conti. El actor de la amenaza se convirtió en su propio seguimiento del cierre de la contisindicación.
Específicamente, los destinatarios del correo electrónico recibirán instrucciones de llamar a su número de atención al cliente para cancelar su suscripción premium dentro de las 24 horas para evitar cualquier pago incurrido. Durante el curso de una conversación telefónica, la víctima recibe un correo electrónico con un enlace y llevó a instalar un programa de acceso remoto, dando a los actores de amenaza el acceso no autorizado al sistema.
Para obtener acceso, el atacante elimina la información confidencial y envía una nota temerosa a la víctima. Solicite el pago para evitar que los datos robados se publiquen en sitios filtrados o se vendan a otros cibercriminales.
El FBI dijo que a partir de marzo de 2025, el actor de Luna Moth había llamado a las personas interesadas y cambió de táctica al pretender ser empleados del departamento de TI de la compañía.
«El SRG instruye a los empleados que participen en una sesión de acceso remoto por correo electrónico enviado a ellos». Si un empleado otorga acceso al dispositivo, se les dice que necesitan hacer el trabajo durante la noche «.
Después de obtener acceso al dispositivo de la víctima, se ha encontrado que los actores de amenaza aumentan los privilegios y aprovechan herramientas legítimas como RCLONE y WINSCP para promover la delaminación de datos.
El uso de una gestión de sistemas auténtica o herramientas de acceso remoto como Zoho Assist, Syncro, Anydesk, Splashtop o Atera significa realizar un ataque.
«Si el dispositivo comprometido no tiene privilegios administrativos, WINSCP Portable se utilizará para eliminar los datos de las víctimas», agregó el FBI. «Esta táctica solo se ha observado recientemente, pero fue extremadamente efectiva y ha proporcionado múltiples compromisos».
Se requiere que los defensores vigilen las conexiones WINSCP o RClone Si se roban datos, se roban correos electrónicos sobre los servicios de suscripción, se roban correos electrónicos sobre tarifas de renovación y se roban correos electrónicos sobre llamadas aprobadas de personas que afirman trabajar en el departamento de TI.
Esta divulgación sigue a un informe EclecticiQ que detalla la campaña de phishing de devolución de llamada de Luna Moth, que se dirige a los sectores legal y financiero de los EE. UU. Utilizando el Defesk de Reamaze y otro software de escritorio remoto.
Según la compañía de seguridad cibernética holandesa, al menos 37 dominios fueron registrados por actores de amenaza a través de Godaddy en marzo.
“Luna Moth utiliza un dominio que se trata principalmente de escritorios de ayuda y generalmente comienza con un nombre comercial objetivo.
Source link
