Bots de Telegram y Google Forms: phishing del siglo 21

Enviar a mensajes guarda-dos: los ciberdelincuentes utilizan bots de Telegram y Google Forms para automatizar el phishing

Group-IB, una empresa global de ciber-inteligencia centrada en el adversario y la caza de amenazas, ha descubierto que los ciberdelincuentes utilizan cada vez más servicios legítimos como Google Forms y bots de Telegram para obtener datos de usuarios robados en sitios web de phishing.

Las formas alternativas de obtener datos ayudan a los ciberdelincuentes a mantener-los seguros y a comenzar a usar la información de inmediato.

Además, las plataformas listas para usar que automatizan el phishing y que están disponibles en la darknet también tienen bots de Telegram en su núcleo, con un panel de administración que se utiliza para gestionar todo el proceso del ataque de phishing y mantener registros financieros vinculados a ellos.

Dichas plataformas se distribuyen bajo el modelo de ciberdelito como servicio, lo que posteriormente conduce a que más grupos lleven a cabo ataques.

También amplían el alcance de la actividad ciberdelincuente.

El Equipo de Respuesta a Emergencias Informáticas de Group-IB (CERT-GIB) analizó las herramientas utilizadas para crear páginas web de phishing (kits de phishing) y descubrió que, en el último año, se utilizaron con mayor frecuencia para generar páginas web que imitan servicios en línea (herramientas en línea para ver documentos, compras en línea, servicios de transmisión, etc.), clientes de correo electrónico y, tradicionalmente, organizacio-nes financieras.

El año pasado, Group-IB identificó kits de phishing dirigidos a más de 260 marcas únicas.

Un kit de phishing es un conjunto de herramientas que ayuda a crear y operar páginas web de phishing que imitan a una empresa específica o incluso a varias a la vez.

Los kits de phishing generalmente se venden en foros clandestinos en la darknet.

Para los ciberdelincuentes que no tienen habilidades de codificación sólidas, los kits de phishing son una forma de construir sin esfuerzo una infraestructura para campañas de phishing a gran escala y reanudar rápidamente una operación si está bloqueada.

Al extraer los kits de phishing, los analistas de ciberseguridad pueden identificar el mecanismo utilizado para llevar a cabo el ataque de phishing y averiguar dónde se envían los datos robados.

Además, un examen exhaustivo de los kits de phishing ayuda a los analistas a detectar rastros digitales que podrían llevar a los desarrolladores del kit de phishing.

En 2020, como en el año anterior, el principal objetivo de los ciberdelincuentes fueron los servicios en línea (30,7%).

Al robar las credenciales de las cuentas de los usuarios, los piratas informáticos obtienen acceso a los datos de las tarjetas bancarias vinculadas.

Los servicios de correo electrónico se volvieron menos atractivos el año pasado, y la proporción de kits de phishing dirigidos a ellos cayó al 22,8%.

Las instituciones financieras resultaron ser el tercer favorito entre los estafadores, con una participación total superior al 20%.

En 2020, las marcas más explotadas en los kits de phishing fueron Microsoft, PayPal, Google y Yahoo.

Los cibercriminales usan Bots de Telegram como herramienta

Para obtener datos de usuarios engañados, los ciberdelincuentes recurren principal-mente a servicios de correo electrónico gratuitos a los que se envía automá-ticamente toda la información recopilada en sitios web de phishing.

Los correos electrónicos gratuitos represen-tan el 66% del número total de correos electrónicos encontrados en los kits de phishing.

Bots de Telegram y Forms de Google, la nueva amenaza

La mayoría de las cuentas de correo electrónico detectadas se crearon con Gmail y Yandex.

IT CONNECT LATAM

Información de valor para ejecutivos que deben proteger activos críticos

Los analistas de Group-IB dividen las formas alternativas para que los ciberdelin-cuentes obtengan datos en dos categorías principales: local (cuando los datos se almacenan en un archivo ubicado en el propio recurso de phishing) y remotos (cuando se envían a un servidor diferente).

Los ciberdelincuentes utilizan activamente servicios legítimos para obtener datos comprometidos.

Una nueva tendencia registrada durante el período del informe fue el uso de formularios de Google y bots privados de Telegram para recopilar datos de usuarios robados.

Phishing, llega una nueva amenaza de la mano de los bots de Telegram

En total, los métodos alternativos para obtener datos comprometidos representan alrededor del 6%.

Los analistas de CERT-GIB predicen que la proporción de formas alternativas de obtener datos seguirá aumentando, siendo Telegram el que muestra el mayor crecimiento debido a que es fácil de usar y anónimo.

La funcionalidad de los kits de phishing no se limita a generar páginas web falsas para robar datos de los usuarios.

Algunos cargan archivos maliciosos en el dispositivo de la víctima.

Los vendedores de kits de phishing a veces resultan ser muy hábiles y engañan a sus propios compradores, intentando ganar dinero con ellos dos veces.

Además de vender la herramienta maliciosa que crearon, también pueden tener sus ojos puestos en los datos robados con su ayuda.

Mediante el uso de una secuencia de comandos especial incrustada en el cuerpo del texto del kit de phishing, dirigen el flujo de datos de usuario robados a sus propios hosts de red o interceptan el acceso al servicio de hospedaje de sus clientes.

“Los kits de phishing han cambiado las reglas del juego en este segmento de la lucha contra el ciberdelito.

En el pasado, los ciberdelincuentes detenían sus campañas después de que los recursos fraudulentos habían sido bloqueados y rápidamente cambiados a otras marcas.

Hoy, automatizan sus ataques y reemplazan instantáneamente los sitios web de phishing bloqueados con nuevas páginas web ”, comenta Yaroslav Kargalev, subdirector del CERT-GIB.

“A su vez, la automatización de tales ataques conduce a la propagación de ingeniería social más compleja utilizada en ataques a gran escala en lugar de incidentes separados, como solía ser el caso.

Esto mantiene a flote una de las profesiones ciberdelincuentes más antiguas”.

El enfoque tradicional que consiste en monitorizar y bloquear sitios web de phishing no es suficiente hoy en día, las empresas tienen que identificar todos los elementos de la infraestructura de los atacantes y bloquear toda la red de recursos fraudulentos en lugar de páginas de phishing separadas.

El sistema Group-IB Threat Intelligence & Attribution analiza los ataques de phishing y los atribuye a un grupo ciberdelincuente específico, identificando todas las páginas web que este último creó.

El sistema Group-IB Threat Intelligence & Attribution ha acumulado una extensa base de datos de kits de phishing, lo que permite a la empresa luchar contra el phishing dirigido a una marca específica.

Esta base de datos se enriquece de forma continua: tan pronto como TI&A detecta un sitio web de phishing, escanea toda la infraestructura de los atacantes para, entre otras cosas, extraer el kit de phishing y determinar qué datos se vieron comprome-tidos y adónde se enviaron.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Bots de Telegram, Bots de Telegram, Bots de Telegram, Bots de Telegram, Bots de Telegram, Bots de Telegram, Bots de Telegram, Bots de Telegram, Bots de Telegram, 

93 / 100