¡Kit de correo electrónico de phishing dirigido a norteamericanos durante la temporada navideña!

Los investigadores de Akamai descubrieron un avanzado kit de phishing que apunta a clientes norteamericanos para las vacaciones al atraerlos con ofertas navideñas.

Según los analistas de Akamai, los ataques han estado en curso desde mediados de septiembre, enfocados en Halloween y el Día del Trabajo, y han continuado durante todo octubre.

Además, el kit de phishing utiliza un enfoque de elusión y emplea sistemas para evitar que los no objetivos accedan a sus páginas de phishing.

Lo que es más interesante es que el kit utiliza un sistema basado en tokens que asegura que cada objetivo sea redirigido a una nueva URL de página de phishing. Para añadir a esto, la idea básica detrás de estos correos electrónicos de phishing para las posibles víctimas es la oportunidad de ganar un regalo de una marca de confianza.

Los enlaces en el correo electrónico de phishing no dan ninguna señal de advertencia ya que llevan a los sitios web de phishing a través de varias redirecciones, y al mismo tiempo, los acortadores de URL ocultan la mayoría de las URLs.

Además, los culpables explotan servicios en la nube, es decir, Google, AWS de Amazon y Azure de Microsoft, y utilizan su nombre para eludir los sistemas de protección.

Además, todos los que visitan el sitio web de phishing ganan el premio prometido después de completar una breve encuesta y también el temporizador de cinco minutos, que asegura que aquellos que realizan la breve encuesta se sientan presionados por la urgencia.

Leer: Malware Mirai RapperBot atacando servidores de juegos en línea con DDoS

Algunas de las marcas que los atacantes imitan incluyen Delta Airlines, la empresa de artículos deportivos Dick’s, Tumi (que fabrica equipaje) y los clubes mayoristas Costo y Sam’s Club. Para hacer que el ataque de phishing sea más exitoso, los atacantes utilizaron reseñas falsas de personas mostrando los premios recibidos.

Para hacer que el ataque de phishing sea más exitoso, los atacantes utilizaron reseñas falsas de personas mostrando los premios recibidos.

Bueno, después de ganar el premio, a las víctimas se les solicita que paguen por el envío, y para eso, necesitan completar los detalles de su tarjeta; naturalmente, no hay premios que enviar, sino que los detalles de la tarjeta de pago son robados por los actores maliciosos.

Según la firma de seguridad Akamai, aproximadamente el 89% de los usuarios que visitan estos dominios de phishing son de Estados Unidos y Canadá. Además, según la ubicación del usuario, el dominio de phishing los lleva a un sitio web de phishing diferente que imita la marca local disponible allí.

Cada uno de los correos electrónicos de phishing lleva un enlace diferente a una página de destino con un ancla; para aquellos que no lo saben, un ancla es un enlace que redirige al usuario a una parte específica de una página vinculada. Sin embargo, en este ataque de phishing, la etiqueta de ancla constituye un token que es utilizado por JavaScript en la página de destino de phishing para reconstruir la URL a la que el objetivo será redirigido.

Leer: Hacktivistas de Rusia con amor atacan organizaciones de Ucrania con ransomware Somnia

Akamai menciona que los valores después del ancla HTML no se considerarán los parámetros HTTP y no se enviarán a los servidores, sin embargo, este valor sigue siendo accesible por el código JavaScript que se ejecuta en el navegador de la víctima.

En cuanto a la situación del fraude de phishing, los valores colocados después del ancla HTML pueden ser ignorados o pasados por alto por los sistemas de seguridad que están verificando si son maliciosos o no. De manera similar, el valor también será pasado por alto por la herramienta de inspección de tráfico.

Las herramientas de inspección y los sistemas de seguridad pasan por alto este token, por lo que esto no crea ningún riesgo para el atacante; en cambio, ayuda a mantener alejados a investigadores, analistas, tráfico no deseado y personas aleatorias de la página de destino de phishing.

Así que, además de excluir a los no objetivos, los tokens pueden ser utilizados para rastrear víctimas, rendimiento del ataque, etc.

Por lo tanto, utilizar todos los métodos conocidos y evitar la detección lo convierte en una amenaza poderosa para los norteamericanos y canadienses.

Leer: Qualcomm anuncia el SoC insignia Snapdragon 8 Gen 2