Estafa de phishing 'TurkeyBombing'

Vivimos en una época precaria y sin precedentes en la que nuestra vida diaria se ha visto trastornada como consecuencia de la pandemia mundial. Grandes segmentos de personas se han visto obligadas a trasladar numerosos aspectos de sus actividades habituales al ámbito en línea, lo que crea una importante oportunidad para los ciberdelincuentes. A principios de 2020, los investigadores de infosec ya descubrieron varios casos en los que los actores de amenazas aprovecharon la plataforma Zoom Video Communications para interrumpir las reuniones en línea en ambos entornos de trabajo, así como las personas que se conectan con sus familias y parientes.

Sin embargo, una campaña mucho más siniestra se desató alrededor del Día de Acción de Gracias y podría continuar por un tiempo. Llamado TurkeyBombing, apuntó a millones de víctimas potenciales con miles que ya han caído en la táctica. El objetivo de los ciberdelincuentes es obtener las credenciales de Microsoft de los usuarios de Zoom desprevenidos que pueden haber utilizado la plataforma durante el largo fin de semana de Acción de Gracias.

Los piratas informáticos aprovechan el Día de Acción de Gracias para realizar un ataque de phishing

El ataque comienza cuando los piratas informáticos difunden innumerables correos electrónicos de phishing. Los correos electrónicos engañosos afirman que el usuario objetivo ha recibido una invitación a una videoconferencia y contienen un enlace que supuestamente lleva al usuario a la conferencia telefónica. En cambio, el enlace dañado redirige a una página de inicio de sesión de Microsoft falsa alojada en Appspot.com. Este es un dominio legítimo que los desarrolladores de software suelen utilizar para alojar aplicaciones web en un centro de datos administrado por Google.

Sin embargo, la página de inicio de sesión está lejos de ser legítima, ya que recopila las credenciales que ingresa la víctima. Para disminuir aún más las posibilidades de que los usuarios se den cuenta de que algo anda mal, la página de inicio de sesión falsa rellena previamente el campo solicitando una dirección de correo electrónico con el correo electrónico del usuario. Luego solicita las credenciales de una cuenta de Microsoft asociada. Además de recopilar todas estas credenciales, la página de destino también registra la dirección IP y la geolocalización de la víctima. Si los piratas informáticos reciben las credenciales de una cuenta con privilegios de Microsoft, intentarán acceder a ella a través de una verificación de credenciales del Protocolo de acceso a mensajes de Internet (IMAP).

Hasta ahora, se ha confirmado que los ciberdelincuentes han logrado obtener más de 3600 direcciones de correo electrónico únicas de las víctimas. Con millones de personas tratando de ver a sus seres queridos durante el fin de semana de Acción de Gracias, lo que resultó en varios millones de videollamadas, la cantidad real de cuentas comprometidas podría ser mucho mayor.