Los ataques de phishing están en constante evolución y las últimas versiones son las más peligrosas hasta el momento, sugiere un nuevo informe.
Los investigadores de seguridad cibernética de Trellix detectaron recientemente una versión avanzada del estilo de ataque de devolución de llamada que, si se lleva a cabo con éxito, roba el dinero de las víctimas, bloquea sus computadoras con ransomware y roba la identidad. (se abre en una pestaña nueva) datos en el proceso.
Los ataques de devolución de llamada son exactamente como suenan: los estafadores devuelven la llamada a la víctima y dan el golpe final por teléfono.
Descargando el (anti)virus
Esta campaña en particular comienza de la manera habitual, con un correo electrónico. La víctima recibe un correo electrónico de confirmación de una compra que nunca realizó, que incluye un número de teléfono que la persona puede usar para «cancelar» el pedido.
Por lo general, aquí es donde atacaría un atacante, usando la llamada telefónica para atraer a la víctima para que descargue el software de acceso remoto y luego usando ese acceso para instalar malware, ransomware u otros virus.
Esta campaña, sin embargo, va un paso más allá. Cuando las víctimas llaman al número proporcionado, la persona del otro lado afirma haber revisado la base de datos y les dice que el correo electrónico es spam. Luego, sugieren que la computadora de la víctima está infectada con un virus y les dice que un «especialista técnico» se comunicará más tarde ese día.
La segunda llamada telefónica lleva a la víctima a descargar programas antivirus falsos en su terminal, que distribuye un ejecutable ClickOnce llamado support.Client.exe, que instala la herramienta de acceso remoto ScreenConnect.
«El atacante también puede mostrar una pantalla de bloqueo falsa y hacer que el sistema sea inaccesible para la víctima, donde el atacante puede realizar tareas sin que la víctima se dé cuenta», dijo Trellix.
Los investigadores también han descubierto un par de variantes de la campaña, una de las cuales distribuye formularios de cancelación falsos a través de los cuales las víctimas comparten sus datos personales. Para recibir el reembolso, las víctimas deben iniciar sesión en su cuenta bancaria. Terminan siendo engañados para que envíen dinero a los estafadores.
«Esto se logra bloqueando la pantalla de la víctima e iniciando una solicitud de transferencia y luego desbloqueando la pantalla cuando la transacción requiere una OTP (contraseña de un solo uso) o una contraseña secundaria», detalló Trellix.
«A la víctima también se le presenta una página de éxito de reembolso falso para convencerlo de que crea que ha recibido el reembolso. El estafador también puede enviar un SMS a la víctima con un mensaje de dinero falso recibido como táctica adicional para evitar que la víctima sospeche cualquier fraude».
Vía BleepingComputer (se abre en una pestaña nueva)