El smishing y las vulnerabilidades en webs creadas en Wordpress destacaron entre las amenazas del segundo trimestre

  • Actualidad

ciberamenazas

El estudio de Infoblox sobre las amenazas y brechas de seguridad del segundo trimestre centra su atención en dos amenazas: el smishing, que se ha convertido en un sofisticado mecanismo para conseguir información de las víctimas, y los ataques VexTrio, que han infectado numerosos sitios web de Wordpress.

Entre abril y junio, los servicios de inteligencia de amenazas de Infoblox han detectado muchas campañas de smishing que tenían como denominador común redirigir a una URL fraudulenta o se producen varios redireccionamientos hasta acabar en un dominio fraudulento. El smishing consiste en el uso combinado de mensajes SMS y técnicas de phishing para acceder a información privada de las víctimas, incluidas contraseñas, identidad e información financiera.

Estos ataques son cada vez más sofisticados, según la compañía. En las campañas analizadas los mensajes contenían enlaces maliciosos y parecían provenir de los propios destinatarios. Los enlaces llevaban a páginas de encuestas falsas donde se pide a las víctimas rellenar formularios con datos personales e información de tarjetas de crédito. Los actores redirigían a las víctimas a través de una serie de dominios para evitar el análisis y la detección del fraude.

Por otro lado, el informe destaca que se han producido múltiples ataques VexTrio, que han infectado numerosos sitios web de Wordpress.

VexTrio es un conjunto de instancias creadoras de ciberataques que utilizan algoritmos de generación de dominios para realizar los ataques y distribuir adware, spyware y formularios web fraudulentos. Los ciberatacantes de VexTrio utilizan intensamente la gestión de dominios y el protocolo DNS, aprovechan los sitios web vulnerables de WordPress como vectores de ataque para distribuir contenido fraudulento a los visitantes de dichos sitios web sin que se enteren.

La cadena de ataque es la siguiente: primero detectan sitios web que muestran vulnerabilidades tipo XSS en plugins o características del website creado en WordPress. Luego introducen código JavaScript malicioso en ellos. Cuando las víctimas visitan estos sitios web, son dirigidos a una página web de destino que aloja contenido fraudulento, a través de uno o más dominios de redirección intermediarios que también están controlados por los cibercriminales.

En el lado positivo, la compañía confirma en su informe que hay menos sitios fraudulentos vinculados a la guerra de Ucrania. A finales de marzo se pudo observar que la cantidad de dominios comenzaba a disminuir y el número de dominios nuevos comenzó a estabilizarse. Las tendencias más recientes, a partir de abril (semana 14), muestran que, en promedio, sigue habiendo un número mayor, aunque solo un poco, de nuevos dominios observados (legítimos y sospechosos/maliciosos) en comparación con antes de la invasión.