Amenazas Hunter ha publicado una nueva campaña que utiliza tecnología de adicción de optimización de motores de búsqueda (SEO) para dirigirse a dispositivos móviles de empleados y promover estafas de pago.
La actividad, detectada por primera vez por Reliaquest en mayo de 2025, se dirige a los clientes que no tienen nombre en el sector manufacturero, pero presenta páginas de inicio de sesión falsas para acceder a los portales de pago de los empleados y redirigir el pago a las cuentas bajo el control del actor de amenazas.
«La infraestructura de los atacantes utiliza enrutadores de la oficina domiciliaria comprometida y redes móviles para cubrir el tráfico, evitar la detección y pasar las medidas de seguridad tradicionales», dijo la compañía de seguridad cibernética en un análisis publicado la semana pasada.
«Los adversarios atacan a los dispositivos móviles de los empleados con sitios web falsos que pretenden ser la página de inicio de sesión de la organización. Armados con credenciales robadas, el enemigo obtuvo acceso al portal de pago de la organización, cambió la información de depósito directo y redirigió los salarios de los empleados a sus propias cuentas».
Los ataques no se atribuyeron a ningún grupo de piratería en particular, pero Reliaquest dijo que era parte de una campaña más amplia y continua debido a dos incidentes similares que investigó a fines de 2024.
Todo esto comienza cuando los empleados buscan el portal de pago de la compañía en un motor de búsqueda como Google. Aquellos que terminen haciendo clic en enlaces falsos serán conducidos a un sitio de WordPress que redirige a una página de phishing que imita el portal de inicio de sesión de Microsoft cuando visiten desde un dispositivo móvil.
Las credenciales ingresadas en la página de destino falsa se extraen en un sitio web controlado por el atacante y establecen una conexión de Boquy Way WebSocket para alertar a los actores de amenaza de contraseña robados utilizando las API de notificación push montado por el empujador.
Esto le da al atacante la oportunidad de reutilizar sus credenciales lo antes posible antes de que cambien y obtengan acceso no autorizado al sistema de nómina.
Además, dirigirse a dispositivos móviles de empleados ofrece dos ventajas, ya que carece de medidas de seguridad de grado empresarial comúnmente disponibles en las computadoras de escritorio, conectando fuera de la red corporativa, reduciendo efectivamente la visibilidad y obstaculizando los esfuerzos de investigación.
«Al atacar dispositivos móviles no garantizados que carecen de soluciones de seguridad y registro, esta táctica no solo evita la detección, sino que también interrumpe los esfuerzos para analizar los sitios web de phishing», dijo Reliaquest. «Esto complica aún más los esfuerzos de mitigación, evitando que los equipos de seguridad escaneen sus sitios y los agregen a sus métricas de alimentación de amenazas de compromiso (COI)».
En intentos de evasión adicionales, se ha encontrado que los intentos de inicio de sesión malicioso surgen de la dirección IP del hogar asociada con los enrutadores de la oficina en el hogar, incluidas marcas como ASUS y Pakedge.
Esto indica que los actores de amenaza están aprovechando los defectos de seguridad, las credenciales predeterminadas o las debilidades, como hacer que los ataques de la fuerza bruta afecten a tales dispositivos de red. El enrutador comprometido infecta el malware y se conecta a una botnet proxy que eventualmente será alquilado por cibercriminales.
«Cuando los atacantes usan redes proxy, particularmente redes vinculadas a direcciones IP residenciales o móviles, se vuelve mucho más difícil para una organización detectar e investigar», dice Reliaquest. «A diferencia de las VPN, las direcciones IP a menudo se marcan debido a las direcciones IP previamente abusadas. Una dirección IP residencial o móvil permitirá a los atacantes volar bajo el radar y no clasificarse como maliciosos».
«Además, las redes proxy permiten a los atacantes hacer que el tráfico parezca provenir de la misma ubicación geográfica que la organización objetivo, sin pasar por alto las medidas de seguridad diseñadas para marcar los inicios de inusación desde ubicaciones inusuales o sospechosas».
La divulgación robó la calificación con el pretexto de Hunt.io que emplea una página web falsa del servicio de archivos compartidos de Adobe para detallar la campaña de phishing, robando las credenciales de inicio de sesión de Microsoft y permitiendo que los contactos accedan a los archivos que supuestamente se comparten. Las páginas específicas de la compañía se desarrollan utilizando el kit de phishing W3LL.
También coincide con el descubrimiento de un nuevo kit de phishing con nombre en código Cogui, que se utiliza para atacar de manera proactiva a las organizaciones japonesas al hacerse pasar por marcas de consumidores y financieras como Amazon, PayPay, MyJCB, Apple, Oriico, Rakuten y más. Se han enviado hasta 580 millones de correos electrónicos entre enero y abril de 2025 como parte de la campaña basada en kits.
«Cogui es un kit sofisticado que emplea técnicas evasivas avanzadas como geofencing, cercas de encabezado y huellas dactilares para evitar la detección de sistemas de navegación automatizados y cajas de arena», dijo la empresa de seguridad de Enterprise Proofpoint en un análisis publicado este mes. «El propósito de la campaña es robar nombres de usuario, contraseñas y datos de pago».
Los correos electrónicos de phishing observados en el ataque contienen enlaces que conducen al sitio web de Phishing para sus credenciales. Dicho esto, vale la pena señalar que la campaña de Cogui no incluye la capacidad de recopilar códigos de autenticación multifactorial (MFA).
Se dice que Cogui estuvo en uso desde al menos octubre de 2024 y se cree que comparte similitudes con el nombre en clave Darcula de otro conocido juego de herramientas de phishing.
Dicho esto, un aspecto importante de separar a Cogui de Darcula es que el primero se centra en los dispositivos móviles y el amordazos, con el objetivo de robar detalles de la tarjeta de crédito.
«Darcula es más accesible, tanto en términos de costo como de disponibilidad, y podría representar una gran amenaza en el futuro», dijo Productuate a Hackernews en un comunicado. «Por otro lado, Lucid continúa permaneciendo bajo el radar. Sigue siendo difícil identificar kits de phishing, simplemente mirando mensajes de SMS y patrones de URL, utilizando servicios de entrega comunes».
Otro nuevo kit de amordazos personalizable surge del panorama cibernético de China, una tienda de panda que utiliza una red de canales de telegrama y bots interactivos para automatizar la entrega de servicios. Las páginas de phishing están diseñadas para imitar marcas populares y servicios gubernamentales para robar información personal. Los datos de la tarjeta de crédito interceptado se envían a las tiendas de cartas subterráneas y se venden a otros cibercriminales.
«Los sindicatos chinos del delito cibernético involucrados en Smeoding son especialmente valientes porque se sienten incontrolables», dijo la respuesta. «Hacen hincapié en que en sus comunicaciones no les importan la policía estadounidense. Mientras viven en China, disfrutan de plena libertad de acción y participan en muchas actividades ilegales».
La respuesta a la identificación de las tiendas Panda en marzo de 2025 muestra que los actores de amenaza operan un modelo de delitos similar al modelo de crimen Smithing Triad, que brinda a los clientes la capacidad de distribuir mensajes de herrería a través de Apple Imessage y Android RC utilizando cuentas comprometidas de Apple y Gmail compradas a granel.
Se cree que la tienda Panda incluye miembros de la tríada de herrería basada en la similitud de los kits de pesca utilizados. Se ha observado que varios actores de amenazas también están utilizando kits de amortiguación de Google Wallet y Apple Pay Scam.
«Los actores detrás de la campaña Smithing están estrechamente vinculados a los actores involucrados en las actividades de fraude mercante y lavado de dinero», dijo ReseCurity. «El amordazos es uno de los principales catalizadores detrás de las actividades de cardado y proporciona a los cibercriminales una cantidad sustancial de datos recopilados de las víctimas».
Source link
