¡Cuidado! Los ataques de phishing se vuelven más inteligentes con la validación de correo electrónico en tiempo real.
Los ciberdelincuentes están subiendo el listón con una nueva y preocupante variante del robo de credenciales: utilizan la validación de correo electrónico en tiempo real para que los ataques de phishing sean más eficientes y difíciles de detectar. Investigadores de Cofense han identificado esta táctica en evolución y la han denominado "phishing de validación precisa", un método que limita la lista de objetivos a solo las direcciones de correo electrónico confirmadas como activas y valiosas.
A diferencia de las campañas de phishing tradicionales, que lanzan una red extensa con la esperanza de obtener algunos resultados, este nuevo enfoque es preciso y deliberado. En lugar de enviar páginas de inicio de sesión fraudulentas a usuarios aleatorios, los atacantes primero verifican que la dirección de correo electrónico introducida en una página de phishing exista en su base de datos de objetivos preseleccionados. Si es correcta, se muestra a la víctima una pantalla de inicio de sesión falsa diseñada para robar credenciales. De lo contrario, se le redirige a un sitio web inofensivo como Wikipedia, lo que ayuda al sitio de phishing a evitar la detección de los escáneres de seguridad automatizados.
Esta verificación en tiempo real es posible gracias a la integración de una API o una herramienta de validación de correo electrónico basada en JavaScript en el kit de phishing. ¿El resultado? Datos robados de mayor calidad, menos esfuerzo desperdiciado y una campaña de phishing más difícil de detectar y neutralizar para las herramientas de ciberseguridad.
Tabla de contenido
Filtrar víctimas para un máximo impacto
Cofense advierte que esta técnica no solo aumenta las posibilidades de robar credenciales de cuentas reales en uso, sino que también dificulta el funcionamiento de los entornos de pruebas automatizados y las herramientas de rastreo diseñadas para detectar sitios web maliciosos. Estos sistemas a menudo no superan la verificación de validación, lo que permite que la página de phishing permanezca activa durante más tiempo y evite ser marcada como sospechosa.
Este nivel de filtrado ofrece a los actores de amenazas una gran ventaja. Al centrarse en objetivos verificados, reducen su riesgo de exposición y aumentan su retorno de la inversión. Esta táctica también ayuda a prolongar la vida útil de las campañas de phishing, lo que dificulta que los defensores las mantengan al día.
El truco de phishing para eliminar archivos utiliza un ataque de dos frentes
Para aumentar el peligro, los atacantes combinan estas tácticas avanzadas con estrategias de ingeniería social. Una campaña observada recientemente utiliza recordatorios de eliminación de archivos como cebo. Las víctimas reciben un correo electrónico que parece enlazar a un PDF programado para su eliminación desde una plataforma legítima de alojamiento de archivos, files.fm. Al hacer clic en el enlace, se les redirige al servicio de alojamiento real, donde pueden acceder a lo que parece ser un archivo PDF.
El truco está en que los usuarios tienen dos opciones: vista previa o descarga. La vista previa abre una página de inicio de sesión falsa de Microsoft destinada a recopilar credenciales, mientras que la descarga activa la instalación de un ejecutable que se hace pasar por Microsoft OneDrive. El programa es, en realidad, ScreenConnect, una herramienta legítima de escritorio remoto de ConnectWise, que suele ser utilizada indebidamente por cibercriminales para obtener acceso no autorizado.
Según Cofense, el ataque está ingeniosamente diseñado para manipular el comportamiento del usuario. Las víctimas se ven obligadas a elegir entre dos opciones igualmente peligrosas, cada una de las cuales compromete su sistema de diferentes maneras. Esta doble estrategia garantiza que el atacante logre su objetivo, ya sea el robo de credenciales o la implementación de malware.
Phishing combinado con acceso remoto y tácticas de vishing
En otro avance alarmante, investigadores de ciberseguridad han descubierto una campaña de ataque multietapa que combina phishing con estafas telefónicas (vishing), herramientas de acceso remoto y técnicas de "viviendo de la tierra". Esta sofisticada operación se alinea con el grupo de actores de amenazas Storm-1811 (también conocido como STAC5777).
El ataque comienza con un mensaje de Microsoft Teams que contiene una carga maliciosa de PowerShell. Una vez obtenido el acceso inicial, los atacantes utilizan la función Quick Assist de Microsoft para controlar el sistema de forma remota. A partir de ahí, instalan software legítimo como TeamViewer junto con una DLL maliciosa instalada de forma local y, finalmente, implementan una puerta trasera de comando y control basada en JavaScript mediante Node.js.
Estos incidentes ponen de relieve la creciente complejidad y creatividad de las amenazas de phishing actuales. Con tácticas que combinan sofisticación técnica y manipulación psicológica, los atacantes consiguen eludir las defensas tradicionales y engañar incluso a los usuarios más precavidos.
La mejor defensa sigue siendo la vigilancia. Las organizaciones deben mantenerse informadas sobre estas amenazas emergentes, y los usuarios deben pensarlo dos veces antes de hacer clic en enlaces, ingresar credenciales o descargar archivos, por muy legítimos que parezcan.