Los ciberdelincuentes crean una falsa plataforma de streaming desde cero

  • Actualidad

Según alerta Proofpoint, los ciberdelincuentes han llevado la ingeniería social a un nuevo nivel creando una plataforma falsa de streaming. Con las suscripciones a este tipo de servicios en auge, han aprovechado para lanzar una nueva campaña con el downloader BazaLoader. La víctima recibía un email en el cual se decía que su suscripción de prueba a BravoMovies.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

Anatomía del ataque a una cuenta privilegiada Leer 

Los ciberdelincuentes están aprovechándose de manera muy eficaz y oportuna de las plataformas de entretenimiento online para comprometer la seguridad de los usuarios a través del correo electrónico y otros documentos maliciosos. Si bien en 2020, durante el confinamiento por la pandemia, se dispararon las suscripciones a servicios de streaming superando los mil millones de usuarios en todo el mundo, este año está disminuyendo el consumo de estos contenidos o bien se tiende más a darse de alta gratis en uno de estos servicios y cancelarlo cuando finaliza el periodo de prueba. Esta tendencia en el comportamiento de los usuarios ha sido rápidamente explotada por los artífices de una nueva campaña con el downloader BazaLoader, detectada por primera vez a principios de mayo de 2021 por la empresa de ciberseguridad Proofpoint.

Los ataques de ingeniería social son cada vez más rebuscados. Hasta ahora, los ciberdelincuentes llevaban a cabo ataques en los que utilizaban conocidas marcas de streaming para phishing de credenciales. Sin embargo, Proofpoint ha detectado algo totalmente nuevo, al crear desde cero. “Cada vez son más creativos en sus amenazas dados los esfuerzos de las organizaciones por detener amenazas de malware que, en muchos casos, pueden derivar en incidentes de ransomware”,  ha explicado Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint.

Desde hace décadas se ha comprobado la efectividad de la ingeniería social como vector de ataque, de ahí que siga utilizándose para desencadenar en el usuario una respuesta que le lleve a realizar una acción o serie de acciones concretas. En esta campaña de BazaLoader la víctima recibía un email en el cual se decía que su suscripción de prueba a BravoMovies estaba a punto de finalizar o que ya lo había hecho y se había modificado su perfil hacia una cuenta prémium del servicio. También aparecían números de teléfono y otras referencias a la supuesta empresa BravoMovies, así como avisos al usuario de que, si no cancelaba su suscripción, se haría un cargo en su cuenta bancaria.    

Entraba aquí otra de las novedades de esta campaña de BazaLoader y que subraya la importancia de la interacción humana en el actual panorama de ciberamenazas: en la cadena de infección se incluía un servicio de atención telefónica para que las víctimas se descargasen e instalasen el malware sin saberlo. Lograr que un usuario levante el teléfono y haga una llamada requiere sin duda de más esfuerzo por parte de los ciberdelincuentes. Según DeGrippo, "estas estafas relacionadas con un supuesto soporte técnico existen desde hace años, pero en el caso de BazaLoader se trata de un fraude más personalizado que utiliza el correo electrónico como cebo inicial". 

Pese a la cantidad de acciones que se requería al usuario, lo cual disminuye las posibilidades de que complete el ataque con éxito, este enrevesado sistema ayudaba a los atacantes a eludir sistemas automáticos de detección de amenazas que advierten únicamente de enlaces o archivos adjuntos maliciosos en emails. En el último paso, cuando finalmente se conseguía que el usuario entrara al sitio web fraudulento para que siguiese las indicaciones y se diese de baja en el servicio, se descargaba una hoja de Excel con macros que, una vez activados, distribuían BazaLoader. 

BazaLoader es un downloader en lenguaje de programación C++ que se usa para descargar y ejecutar módulos adicionales. Proofpoint lo observó por primera vez en abril de 2020 y actualmente sirve a numerosos ciberdelincuentes para realizar ataques disruptivos de malware, incluidos los ransomware Ryuk y Conti. Según la compañía de ciberseguridad, habría muchas probabilidades de que haya una correlación entre los atacantes que distribuyen BazaLoader y quienes lo hacen con el malware Trickbot.