Los atacantes están falsificando cada vez más al servicio de mensajería DHL y utilizan mensajes de ingeniería social relacionados con paquetes para engañar a los usuarios para que descarguen Trickbot y otras cargas útiles maliciosas.
Los actores de amenazas utilizan cada vez más estafas que falsifican a los mensajeros de paquetes como DHL o el Servicio Postal de los EE. UU. en correos electrónicos de phishing de aspecto auténtico que intentan engañar a las víctimas para que descarguen el robo de credenciales u otras cargas maliciosas, según descubrieron los investigadores.
Investigadores de Avanan, una empresa de Check Point, y Cofense descubrieron campañas de phishing recientes que incluyen enlaces maliciosos o archivos adjuntos destinados a infectar dispositivos con Trickbot y otro malware peligroso, informaron por separado el jueves.
Las campañas por separado se basaron en la confianza en los métodos ampliamente utilizados para el envío y la comodidad de los empleados al recibir documentos por correo electrónico relacionados con los envíos para tratar de obtener más acciones para comprometer los sistemas corporativos, dijeron los investigadores.
De hecho, esta tendencia se ha vuelto tan frecuente que incluso le valió a DHL la dudosa distinción de reemplazar a Microsoft en la parte superior de la lista de Check Point Software de las marcas más imitadas por los actores de amenazas en el cuarto trimestre de 2021. Las estafas relacionadas con el servicio de mensajería representaron 23 por ciento de todos los correos electrónicos de phishing durante ese período de tiempo cuando el nombre de la empresa se había adjuntado a solo el 9 por ciento de las estafas en el tercer trimestre.
Específicamente, una reciente campaña de phishing de Trickbot descubierta por Cofense Phishing Defense Center utiliza correos electrónicos que afirman ser un aviso de entrega fallida de la oficina de correos de EE. UU., pero en su lugar incluyen un enlace malicioso, según un informe publicado el jueves.
Mientras tanto, los investigadores de Avanan a principios de este mes descubrieron una nueva ola de piratas informáticos que suplantan a DHL en correos electrónicos de phishing que tienen como objetivo propagar "un virus troyano peligroso" notificando a las víctimas que ha llegado un envío y pidiéndoles que hagan clic en un archivo adjunto para obtener más detalles.
Los investigadores atribuyeron un par de factores detrás del aumento de las estafas relacionadas con la entrega de paquetes. Suplantar a DHL sin duda tuvo sentido en el cuarto trimestre del año pasado durante la ajetreada temporada de compras navideñas, señaló Jeremey Fuchs, investigador y analista de seguridad cibernética de Avanan, en un informe sobre la última estafa relacionada con DHL, publicado el jueves.
“Ahora, los piratas informáticos se están aprovechando de esto al adjuntar malware a una falsificación de DHL”, lo que probablemente atraerá la atención de un destinatario en parte debido a que utiliza una empresa confiable, escribió en el informe.
Además, los retrasos en los envíos y los problemas de la cadena de suministro se han vuelto comunes durante la pandemia, lo que también ha provocado un aumento masivo de personas que trabajan de forma remota desde casa.
Adjuntar un enlace de factura malicioso a una notificación falsa de entrega fallida de USPS, como lo hicieron los actores de amenazas en la campaña Trickbot recientemente descubierta, sería un señuelo atractivo para las víctimas potenciales acostumbradas a recibir este tipo de correos electrónicos, según Cofense.
“Con los retrasos en la cadena de suministro, recibir una notificación de que se perdió un intento de entrega puede generar frustración y atraer al destinatario a abrir el enlace de la factura para investigar más a fondo”, escribieron en el informe los investigadores de Cofense PDC Andy Mann y Schyler Gallant.
De hecho, un estudio no relacionado de la firma de seguridad F-Secure que simuló el envío de correos electrónicos de phishing a más de 82,000 empleados corporativos encontró que las estafas por correo electrónico destinadas a compartir un documento o informar un problema de servicio a las víctimas potenciales probablemente tendrán más éxito cuando los documentos están vinculados a una marca de confianza.
En las dos campañas recientes relacionadas con el servicio de entrega, los atacantes intentaron hacer que las estafas parecieran lo más auténticas posible para convencer a los usuarios de realizar más acciones para descargar cargas maliciosas, dijeron los investigadores.
Los correos electrónicos utilizados para entregar Trickbot incluyen la marca oficial de USPS, así como detalles como logotipos de redes sociales de terceros de Facebook, Instagram, LinkedIn y Twitter, "para que el correo electrónico parezca aún más legítimo", escribieron los investigadores.
Sin embargo, los correos electrónicos incluyen una dirección de remitente completamente ajena al USPS, lo que fácilmente podría haber alertado a alguien sobre sus intenciones dudosas, dijeron.
Si el señuelo funciona y un usuario hace clic en el enlace a la supuesta factura, se lo dirige a un dominio, hxxps://www.zozter[.]com/tracking/tracking[.]php, que descarga un archivo ZIP. El archivo descomprimido es una hoja de cálculo XMLSM llamada "USPS_invoice_EA19788988US.xlsm" que supuestamente requiere edición debido a la protección de documentos, una táctica que se usa a menudo en campañas de correo electrónico maliciosas.
Si una víctima llega a habilitar la edición, activará un proceso de PowerShell malicioso que finalmente descargará Trickbot. El troyano bancario se descubrió por primera vez en 2016, pero se ha convertido en una de las herramientas más utilizadas para la actividad ciberdelincuente, llena de capacidades maliciosas .
El ataque que suplanta a DHL también incluye lo que los actores de amenazas quieren que las víctimas crean que es un documento de envío, pero esta vez en forma de archivo adjunto, describió Fuchs de Avanan en su informe.
“Al falsificar una marca popular, los piratas informáticos esperan apuntar a usuarios vulnerables que están acostumbrados a verificar las notificaciones de envío”, escribió.
Sin embargo, el archivo adjunto en sí no incluye un archivo de documento. Más bien, dirige al destinatario a una página web de recopilación de credenciales, explicó Fuchs. Al hacer clic en el archivo, también se instala un troyano no especificado que también puede recopilar otros datos confidenciales y, en última instancia, apoderarse de la computadora de la víctima "para propagar más ataques en su red", escribió.
Fuchs dijo que el ataque tiene su origen en un ataque anterior observado por Check Point que falsificó a FedEx de manera similar para entregar el malware Snake Keylogger.
Fuente: https://threatpost.com/shipment-delivery-scams-a-fav-way-to-spread-malware/178050/
No hay comentarios.:
Publicar un comentario