Los investigadores de ciberseguridad están llamando la atención sobre las campañas de phishing que se hacen pasar por marcas y objetivos populares y llaman a los números de teléfono administrados por actores de amenaza.
«Una parte significativa de la amenaza de correo electrónico causada por las cargas útiles de PDF persuadará a las víctimas de llamar a los números de teléfono hostiles y ver otra técnica popular de ingeniería social conocida como entrega de ataques por teléfono (TOAD), también conocida como phishing de devolución de llamada», dijo Omid Mirzaei, investigador de Cisco Talos, en un informe compartido con Hacker News.
Los análisis de correos electrónicos de phishing que contienen archivos adjuntos PDF entre el 5 de mayo y el 5 de junio de 2025 revelaron que Microsoft y Docusign eran las marcas más falsificadas. NortonlifeLock, PayPal y Geek Squad son una de las marcas más sitiadas en el correo de sapo con archivos adjuntos PDF.
Esta actividad es parte de un ataque de phishing más amplio que busca aprovechar la confianza de que las marcas populares y las personas tienen que lanzar un comportamiento malicioso. Estos mensajes generalmente incorporan archivos adjuntos PDF con marcas legítimas como Adobe o Microsoft, y escanean los códigos QR maliciosos que se refieren a las páginas de inicio de sesión de Microsoft, o haga clic en un enlace que redirige a los usuarios a una página de phishing como un servicio, como Dropbox.
También se ha encontrado que los correos electrónicos de phishing de código QR permiten los correos electrónicos que contienen cargas de PDF para aprovechar las anotaciones PDF para vincular los códigos QR a páginas web reales e incrustar URL en notas adhesivas, comentarios o campos de formularios dentro de los archivos adjuntos PDF. El mensaje da la impresión en que puede confiar.
En los ataques basados en Toad, las víctimas son coaxialmente al llamar a los números de teléfono en intentos de resolver problemas o confirmar las transacciones. Durante la llamada telefónica, el atacante pretende ser un representante legal del cliente y engaña a la víctima para que revele información confidencial o instalen malware en el dispositivo.
Si bien la mayoría de las campañas de sapos dependen de fantasías de urgencia, su efectividad depende de cuán persuasivas sean de usar tácticas de centro de llamadas con guiones, retener música e incluso falsificar identificaciones de llamadas, imitando los flujos de trabajo de soporte reales.
Esta técnica es un método popular entre los objetivos de amenaza para instalar programas de acceso remoto en troyanos bancarios y máquinas de víctimas en dispositivos Android para obtener acceso sostenido. En mayo de 2025, la Oficina Federal de Investigación de los Estados Unidos (FBI) advirtió sobre tales ataques llevados a cabo por un grupo motivado financieramente llamado Luna Moth para violar la red objetivo por pose como funcionarios del departamento de TI.
«Los atacantes usan la comunicación de voz directa para aprovechar la confianza de las víctimas en sus llamadas telefónicas y la percepción de que la comunicación telefónica es una forma segura de interactuar con las organizaciones», dijo Mirzaei. «Además, las interacciones en vivo en el teléfono permiten a los atacantes manipular las emociones y respuestas de las víctimas mediante el empleo de tácticas de ingeniería social».
Cisco Talos dijo que la mayoría de los actores de amenazas usan números de Protocolo de Internet (VOIP) para mantener el anonimato, lo que dificulta rastrear.
«La suplantación de marca es una de las tecnologías de ingeniería social más popular y los atacantes utilizan continuamente en varios tipos de amenazas de correo electrónico», dijo la compañía. «Por lo tanto, el motor de detección de suplantación de la marca juega un papel crucial en la defensa de los ataques cibernéticos».
En los últimos meses, las campañas de phishing han aprovechado las características legales de Microsoft 365 (M365) llamado envío directo a los usuarios internos falsificados y entregar correos electrónicos de phishing sin tener que comprometer su cuenta. Este nuevo método se ha adoptado para que cada Valonis apunte a más de 70 organizaciones desde mayo de 2025.
Estos mensajes falsificados no solo surgen dentro de la organización de víctimas, sino que también aprovechan el hecho de que las direcciones de anfitriones inteligentes siguen un patrón predecible («.mail.protection.outlook.com») y envían correos electrónicos de phishing sin la necesidad de autenticación.
Esta táctica comparte similitudes con Vishing, fraude de soporte técnico y compromiso de correo electrónico comercial (BEC), pero difiere en vectores de entrega y persistencia. Algunos atacantes presionan a las víctimas a descargar software de acceso remoto como Anydesk y TeamViewer, mientras que otros las enrutan a través de portales de pago falsos o se hacen pasar por el departamento de facturación para cosechar información de la tarjeta de crédito.
En un correo electrónico de phishing enviado el 17 de junio de 2025, el cuerpo del mensaje fue similar a una notificación de correo de voz, incluido un archivo adjunto PDF que contiene un código QR que dirige a los destinatarios a la página de cosecha de calificación de Microsoft 365.
«En muchos de los intentos de acceso inicial, los actores de amenaza han aprovechado las capacidades de transmisión directa del M365 para dirigirse a organizaciones individuales que utilizan mensajes de phishing que están sujetos a menos escrutinio en comparación con el correo electrónico entrante estándar», dijo el investigador de seguridad Tom Balnea. «Esta simplicidad envía vectores directamente atractivos y de bajo esfuerzo para las campañas de phishing».
Esta divulgación se debe a que encontramos que una nueva investigación en Netcraft se sugirió inicialmente como un nombre de host irrelevante como una respuesta que no es propiedad de la marca al pedir un modelo de lenguaje a gran escala (LLM) que inicia sesión en 50 marcas diferentes en diferentes sectores, como finanzas, minoristas, tecnología y utilidad.
«En dos tercios del tiempo, el modelo devolvió la URL correcta», dijo la compañía. «Pero para el tercio restante, los resultados colapsaron así. Casi el 30% de los dominios no estaban registrados, estacionados u otros inertes, abriéndolos a adquisiciones. Otro 5% apuntaba a empresas completamente no relacionadas».
Esto también significa que al preguntar dónde iniciar sesión en un chatbot de IA, puede estar enviando a los usuarios a un sitio web falso.
Como los actores de amenaza ya están utilizando herramientas con IA para crear páginas de phishing a escala, los últimos desarrollos muestran un nuevo giro en el que los ciberdelincuentes intentan jugar respuestas LLM mediante la superficie de las URL maliciosas en respuesta a las consultas.
Netcraft dijo que se han observado intentos de envenenar asistentes de codificación de IA como cursor al exponer API falsas a GitHub, que tiene la capacidad de enrutar las transacciones en la cadena de bloques de Solana a las billeteras controladas por los atacantes.
«Los atacantes no solo exponen el código», dice el investigador de seguridad Bilaal Rashid. «Lanzaron docenas de repositorios de GitHub para promover tutoriales de blog, preguntas y respuestas del foro y docenas de repositorios de GitHub. Múltiples cuentas falsas de Github compartieron un proyecto llamado Moonshot-Volume-Bot, que se sembró en sus cuentas con una riqueza de BIOS, imágenes de perfil, cuentas de redes sociales y actividades de codificación de confianza.
El desarrollo también sigue los esfuerzos coordinados de los actores de amenaza y utiliza JavaScript o HTML diseñado para influir en los sitios web altamente reputados (por ejemplo, dominios .gov o .edu) para influir en los motores de búsqueda y priorizar los sitios de phishing en los resultados de búsqueda. Esto se logra por un mercado ilegal llamado Hacklink.
El servicio «Closderens puede comprar acceso a miles de sitios web comprometidos e inyectar código malicioso diseñado para manipular los algoritmos de los motores de búsqueda», dijo el investigador de seguridad Andrew Sevenborn. «Los estafadores usan el panel de control Hacklink para insertar enlaces a sitios web de phishing o ilegales en el código fuente de dominios legítimos pero comprometidos».
Debido a que estos enlaces de salida están asociados con palabras clave específicas, cuando los usuarios buscan términos relevantes, el sitio web pirateado se proporcionará en los resultados de búsqueda. Peor aún, los actores pueden cambiar el texto que se muestra en los resultados de búsqueda para satisfacer sus necesidades sin tener que controlar el sitio en cuestión, afectando la integridad de la marca y la confianza del usuario.
Source link
