Aumentan las apropiaciones de cuentas y las estafas con bitcoins

El panorama de las amenazas sigue evolucionando rápidamente. Desde comienzos de este año, el equipo de investigación de Proofpoint ha detectado que los ciberdelincuentes están llevando a cabo más robos de cuentas, dando un nuevo giro a las estafas con bitcoins y usando más las herramientas RMM para sus ataques.

Los investigadores de amenazas ven una tendencia creciente en el uso de herramientas cliente HTTP en incidentes de toma de control de cuentas. Estas herramientas son aplicaciones o bibliotecas de software utilizadas para enviar solicitudes y recibir respuestas de servidores web. Con ellas, los atacantes consiguen comprometer los entornos de Microsoft 365. De hecho, el 78% de los clientes de Microsoft 365 fue objetivo al menos una vez de estos ataques, implicando el uso de un cliente HTTP identificable.

La mayoría de los ataques a la nube basados en HTTP emplean métodos de fuerza bruta, lo cual se traduce en bajas tasas de éxito. Una campaña reciente con el cliente HTTP único Axiom tuvo una tasa de éxito particularmente alta. El 43% de las cuentas de usuario se vio comprometido.

Varias herramientas cliente HTTP han sido mejoradas para ataques de apropiación de cuentas, en las que estas abusan de las API y crean peticiones. La tendencia sugiere que los atacantes siguen cambiando entre diferentes herramientas cliente HTTP, lo cual ofrece diferentes ventajas y hace que los ataques sean más eficaces.

 

La evolución de las estafas con bitcoins

Tras el auge de las estafas con criptomonedas mediante imágenes, surge ahora la tendencia del VidSpam en el que los atacantes mejoran sus tácticas de engaño con pequeños archivos de vídeo.

Se trata del uso de vídeo en mensajes multimedia (MMS) en el móvil para promocionar estafas con bitcoins. Uno de los mensajes fraudulentos contenía un ligero archivo 3GP de 14KB para convencer a las víctimas de que hagan clic en el enlace y conectarse con los estafadores. Los destinatarios de esos vídeos son dirigidos a grupos de Whatsapp, donde los estafadores ejercen una fuerte presión para extraer dinero o información personal.

Este abuso de los MMS podría seguir creciendo con contenidos multimedia cada vez más engañosos para captar a personas desprevenidas. A medida que los estafadores mejoran sus tácticas, los defensores y los consumidores deben permanecer en alerta y adaptarse a las nuevas cadenas de ataque. El abuso basado en mensajes con vídeo representa una evolución en las herramientas que los atacantes utilizan para explotar a las víctimas. La colaboración es esencial para ir un paso por delante de estas amenazas en evolución.

 

 Herramientas RMM como primer paso del ciberataque

La supervisión y gestión remotas (RMM) se usan en las empresas de TI de manera legítima. Sin embargo, si se usa de manera malintencionada, este software puede funcionar como un troyano de acceso remoto (RAT). Los ciberdelincuentes están distribuyendo cada vez más herramientas RMM por correo electrónico en sus amenazas con motivaciones económicas.

Además, las investigaciones señalan que cada vez más atacantes usan herramientas RMM legítimas como primer paso para ciberataques en campañas por correo electrónico. El año pasado se detectó un aumento notable en el uso de este software entre los ciberdelincuentes, y se espera que esta tendencia continúe en 2025.

Las herramientas RMM se utilizan para la recopilación de datos, el robo financiero y la instalación de malware de seguimiento, como el ransomware, entre otros. Los ciberdelincuentes crean y distribuyen fácilmente herramientas de monitorización externas, que a menudo son utilizadas legítimamente por los usuarios finales y pasan menos desapercibidas que otros RAT. Asimismo, se prevé que el software RMM se utilice cada vez más como carga útil inicial.