Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Ataque de phishing de Luna Moth

Ataque de phishing de Luna Moth

Por Mezo en Suplantación de identidad (phishing)
Traducir a:

El Buró Federal de Investigaciones (FBI) de EE. UU. ha emitido una advertencia sobre ataques de ingeniería social lanzados por un grupo llamado Luna Moth. Este extorsionador ha estado atacando bufetes de abogados durante los últimos dos años, utilizando una combinación de correos electrónicos de phishing e ingeniería social telefónica para robar datos confidenciales y exigir pagos.

Cómo operan: el manual de estrategias de phishing con devolución de llamada

Luna Moth, también conocido como Chatty Spider, Silent Ransom Group (SRG), Storm-0252 y UNC3753, lleva activo al menos desde 2022. Se basa principalmente en una táctica llamada phishing de devolución de llamada o TOAD (abreviatura en inglés de "phone-sided attack delivery" o "toad" o "ataque telefónico"). Sus correos electrónicos de phishing, aparentemente inofensivos y relacionados con facturas y suscripciones, engañan a los destinatarios para que llamen a un número de teléfono para cancelar un pago o una suscripción.

Durante estas llamadas, los atacantes guían a la víctima para que instale un programa de acceso remoto, obteniendo acceso no autorizado a sus sistemas. Al controlar estos dispositivos, recopilan información confidencial y realizan extorsiones para evitar que los datos se filtren o se vendan a otros ciberdelincuentes.

De BazarCall a la suplantación de identidad de TI

Este es el mismo equipo detrás de campañas anteriores de BazarCall que propagaban ransomware como Cont i. Desde el cierre de Conti, Luna Moth ha intensificado sus esfuerzos. Cabe destacar que, a partir de marzo de 2025, han evolucionado su estrategia llamando directamente a personas específicas, haciéndose pasar por empleados del departamento de TI. Este método manipula a los empleados para que se unan a una sesión de acceso remoto, a menudo con el pretexto de realizar tareas de mantenimiento nocturno.

Herramientas del oficio: Integración con software legítimo

Una vez que se concede el acceso, Luna Moth aumenta los privilegios y utiliza herramientas legítimas para exfiltrar datos:

  • Rclone
  • WinSCP
  • Asistente de Zoho
  • Sincro
  • Cualquier escritorio
  • Salpicadero
  • Atera

Dado que se trata de herramientas genuinas de administración de sistemas y acceso remoto, a menudo evaden la detección de las herramientas de seguridad. Si el dispositivo comprometido carece de privilegios de administrador, se utiliza WinSCP portable para extraer los datos robados. A pesar de ser una táctica reciente, ha demostrado ser notablemente eficaz, lo que ha dado lugar a múltiples ataques exitosos.

Señales de problemas: Indicadores de un ataque de polillas luna

Los agentes de ciberseguridad deben estar atentos a ciertas señales de alerta:

  • Correos electrónicos o mensajes de voz inesperados de un grupo anónimo que afirma haber sido víctima de robo de datos.
  • Correos electrónicos sobre renovaciones de suscripciones que requieren una llamada telefónica para evitar cargos.
  • Llamadas telefónicas no solicitadas de supuesto personal de TI que solicitan acceso remoto a su dispositivo.
  • Conexiones sospechosas realizadas a través de WinSCP o Rclone a direcciones IP externas.

Ataques de alto ritmo y suplantación de la mesa de ayuda

Las investigaciones muestran que las campañas de phishing de devolución de llamada de alta intensidad de Luna Moth se centran en los sectores legal y financiero de EE. UU. Utilizan plataformas como Reamaze Helpdesk y otros programas de escritorio remoto. Solo en marzo de 2025, Luna Moth registró al menos 37 dominios a través de GoDaddy. La mayoría de estos dominios suplantan los servicios de asistencia y portales de soporte de TI de las organizaciones objetivo.

Estos dominios con temática de soporte técnico suelen comenzar con el nombre de la empresa objetivo. Los atacantes recurren a un pequeño número de registradores y proveedores de servidores de nombres, siendo domaincontrol.com el más común.

¡Permanezca alerta!

Las campañas de Luna Moth resaltan la crucial necesidad de vigilancia. Al combinar herramientas fundamentales con ingeniería social y suplantación de dominio, evaden numerosas defensas y ponen en riesgo datos confidenciales. Reconocer sus tácticas es el primer paso para mantenerse protegido.

Tendencias

Mas Visto

Cargando...