Los ataques de phishing están en constante evolución, y las últimas versiones son las más peligrosas hasta el momento, sugiere un nuevo informe.
Los investigadores de seguridad cibernética de Trellix detectaron recientemente una versión avanzada del ataque estilo devolución de llamada que, si tiene éxito, roba a las víctimas su dinero, bloquea sus computadoras con ransomware y roba datos de identidad (se abre en una nueva pestaña) en el proceso.
Los ataques de devolución de llamada son exactamente como suenan: los estafadores devuelven la llamada a la víctima y dan el golpe final por teléfono.
Descargar (anti)virus
Esta campaña en particular comienza de la manera habitual, con un correo electrónico. La víctima recibe un correo electrónico que confirma una compra que nunca realizó, que incluye un número de teléfono que la persona puede usar para "cancelar" el pedido.
Por lo general, aquí es donde atacaría un atacante, usando la llamada telefónica para engañar a la víctima para que descargue el software de acceso remoto y luego usar ese acceso para instalar malware, ransomware u otros virus.
Pero esta campaña va más allá. Cuando las víctimas llaman al número proporcionado, la persona del otro lado afirma haber verificado la base de datos y les dice que el correo electrónico es spam. Luego sugieren que la computadora de la víctima está infectada con un virus y les dicen que un "especialista técnico" los contactará más tarde ese día.
La segunda llamada telefónica hace que la víctima descargue programas antivirus falsos en su dispositivo, que distribuye un ejecutable ClickOnce llamado support.Client.exe, que instala la herramienta de acceso remoto ScreenConnect.
"El atacante también puede mostrar una pantalla de bloqueo falsa y hacer que el sistema sea inaccesible para la víctima, donde el atacante puede realizar tareas sin el conocimiento de la víctima", dijo Trellix.
Los investigadores también descubrieron algunas variaciones de la campaña, una de las cuales distribuye formularios de exclusión falsos a través de los cuales las víctimas comparten su información personal. Para recibir el reembolso, las víctimas deben iniciar sesión en su cuenta bancaria. Terminan siendo engañados para que envíen dinero a los estafadores.
“Esto se logra bloqueando la pantalla de la víctima e iniciando una solicitud de transferencia saliente, luego desbloqueando la pantalla cuando la transacción requiere una OTP (contraseña de un solo uso) o una contraseña secundaria”, detalló Trellix.
"A la víctima también se le presenta una página de reembolso exitosa falsa para convencerla de que crea que ha recibido el reembolso. El estafador también puede enviar un mensaje de texto a la víctima con un mensaje de dinero falso recibido como táctica adicional para evitar que la víctima sospeche de algún fraude. "
ผ่าน BleepingComputer (เปิดในแท็บใหม่)