Investigadores de ciberseguridad han revelado detalles de una campaña de fraude en telecomunicaciones que utiliza trucos de verificación CAPTCHA falsos para engañar a usuarios desprevenidos para que envíen mensajes de texto internacionales, cargándolos en sus facturas de teléfono celular y generando ingresos ilegales para los atacantes que alquilan números de teléfono.
Se cree que la operación ha estado activa desde al menos junio de 2020, utilizando técnicas como ingeniería social y secuestro del botón Atrás del navegador web, según un nuevo informe publicado por Infoblox. Se han observado hasta 35 números de teléfono en 17 países como parte de la campaña Internacional de Fraude de Reparto de Ingresos (IRSF).
Los investigadores David Brunsdon y Darby Wise dijeron en su análisis: «El CAPTCHA falso tiene múltiples pasos, y cada mensaje creado por el sitio se completa previamente con más de una docena de números de teléfono. Esto significa que, en lugar de cobrar a las víctimas por un solo mensaje, se les cobra por enviar un SMS a más de 50 destinos internacionales».
«Este tipo de fraude también se beneficia de los retrasos en la facturación, ya que los cargos por ‘SMS internacionales’ a menudo aparecen en las facturas de las víctimas semanas después, y la experiencia CAPTCHA falsa se olvida hace mucho tiempo».
Lo que hace que esta amenaza sea notable es la combinación de fraude de reparto de ingresos y un sistema de distribución de tráfico malicioso (TDS). Esta infraestructura, tradicionalmente encargada de encaminar el tráfico hacia páginas de malware y phishing mediante cadenas de redireccionamiento para evadir la detección, se está utilizando para llevar a cabo fraudes por SMS a gran escala.
Los esquemas del IRSF involucran a estafadores que adquieren ilegalmente números internacionales de tarifa premium (IPRN) o rangos de números, inflan artificialmente el volumen de llamadas o mensajes internacionales a esos números y reciben una parte de los ingresos generados por los cargos de llamadas que el titular del rango de números recibe por el tráfico entrante al rango de números.
En este contexto, los cargos de terminación se refieren a los cargos entre operadores pagados por el operador de origen al operador de destino para completar una llamada en la red. El IRSF está impulsado por el abuso de estos acuerdos de «reparto de ingresos», donde el operador de origen termina pagando una tarifa de terminación a la red de destino por llamadas a destinos de alto valor, una parte de la cual se divide al 50% con el estafador.
Según Infoblox, las campañas observadas registran específicamente números de teléfono de países con altas tarifas de cancelación y regulaciones débiles, como Azerbaiyán, Kazajstán o ciertos rangos de números premium en Europa, y se confabulan con proveedores de telecomunicaciones locales para llevar a cabo el fraude.
Toda la campaña se desarrollará de la siguiente manera. Los usuarios son redirigidos a una página web falsa utilizando un TDS comercial y proporcionan un CAPTCHA que les indica que envíen un SMS para «verificar que eres un humano». Esto activa una cadena de «verificación» de varios pasos, en la que cada paso activa un mensaje SMS independiente al número especificado por el servidor al iniciar mediante programación una aplicación de SMS en dispositivos Android e iOS precargada con el número de teléfono y el contenido del mensaje.
En el proceso, se envían hasta 60 mensajes SMS a 15 números únicos después de pasar por cuatro pasos CAPTCHA, lo que potencialmente le cuesta al usuario $30 al final. Si bien esta cantidad puede ser relativamente pequeña, la firma de inteligencia de amenazas DNS advirtió que podría acumularse rápidamente para los actores de amenazas si se realiza a escala. La lista de números de teléfono abarca 17 países, incluidos Azerbaiyán, Países Bajos, Bélgica, Polonia, España y Turquía.
Esta campaña se basa en gran medida en cookies para rastrear el progreso del flujo de verificación falso, utilizando los valores almacenados en ciertas cookies (por ejemplo, ‘successRate’) para determinar la siguiente acción. Si se considera que el usuario no es elegible para la campaña, la página está diseñada para redirigir al usuario a una página CAPTCHA completamente diferente, probablemente parte de otra campaña o controlada por otro atacante.
Otra nueva estrategia empleada por los estafadores es el uso del secuestro del botón Atrás. Se basa en JavaScript para modificar el historial de navegación, y cuando un visitante del sitio intenta navegar fuera de una página CAPTCHA presionando el botón Atrás del navegador, redirige al usuario a una página falsa, atrapando efectivamente al usuario en un bucle de navegación a menos que elija salir del navegador por completo.
«Esta operación defrauda tanto a los individuos como a los operadores al mismo tiempo. Las víctimas individuales enfrentan cargos por SMS inesperadamente altos en sus facturas, y el fraude será difícil de identificar y denunciar cuando proviene de una fuente tan inesperada», concluyó Infoblox. «Es probable que los transportistas paguen ingresos compartidos a los perpetradores mientras absorben las pérdidas de las disputas de los clientes y las devoluciones de cargos».
Cómo los actores de amenazas explotan Keitaro TDS
Esta divulgación indica que la compañía, en colaboración con Confiant, ha anunciado que Keitaro TDS (también conocido como Keitaro TDS) se produce después de que Tracker publicara un análisis de tres partes que detalla cómo están siendo explotados por una amplia gama de actores de amenazas para actividades maliciosas, incluida la distribución de malware, el robo de criptomonedas y estafas de inversión que afirman utilizar inteligencia artificial (IA) para automatizar transacciones y prometer enormes ganancias, en algunos casos mediante la adquisición de licencias robadas o descifradas (como en el caso de TA2726).
Las estafas utilizan anuncios de Facebook para llevar a las víctimas a plataformas fraudulentas impulsadas por inteligencia artificial y, en algunos casos, recurren a fabricar respaldos de celebridades a través de artículos de noticias falsos y videos falsos para promover esquemas de inversión. Se cree que el uso de vídeos sintéticos lo realiza un actor de amenazas conocido como FaiKast.
«Keitaro es, ante todo, un rastreador de rendimiento de anuncios autohospedado diseñado para enrutar condicionalmente a los visitantes mediante flujos», dijeron las empresas. «Los actores de amenazas reutilizan este mecanismo para transformar el servidor Keitaro en una herramienta todo en uno que actúa como sistema de distribución de tráfico, rastreador y capa de encubrimiento».
Durante un período de cuatro meses, desde octubre de 2025 hasta enero de 2026, más de 120 campañas diferentes en total explotaron el TDS de Keitaro para la distribución de enlaces. Infoblox señaló que sus clientes registraron aproximadamente 226.000 consultas DNS en 13.500 dominios relacionados con la actividad relacionada con Keitaro durante el período. Tras una revelación responsable, Keitaro intervino para cancelar más de una docena de cuentas asociadas con estas actividades.
Infoblox y Confiant dijeron: «Al combinar un tema de fraude de inversiones antiguo pero altamente efectivo con tecnología de inteligencia artificial moderna, los atacantes pudieron lanzar una campaña cibernética a gran escala y altamente convincente». «Aproximadamente el 96% del tráfico de spam vinculado a Keitaro facilitaba esquemas de drenaje de billeteras de criptomonedas a través de lanzamientos aéreos falsos/señuelos de obsequio centrados principalmente en AURA, SOL (token Solana), Phantom (billetera) y Júpiter (DEX/agregador)».
Source link
