Facebook Linkedin Twitter Instagram Youtube Telegram

CoGUI, el kit de phishing que roba datos con millones de mensajes maliciosos

Entre las amenazas de mayor volumen en la actualidad, según la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint , se encuentra el kit de phishing CoGUI que abusa de conocidas marcas de consumo y financieras, incluidas Amazon, PayPay, Rakuten y otras, en señuelos de phishing. El objetivo de estas campañas es robar nombres de usuario, contraseñas y datos de pago. Su punto álgido se produjo el pasado enero con más de 172 millones de mensajes observados durante ese mes.

El kit CoGUI tiene algunas similitudes con un kit de phishing conocido como Darcula, ambos utilizados por ciberdelincuentes de habla china. CoGUI cuenta con varias técnicas avanzadas de evasión de defensas, como geofencing , headers fencing y huellas dactilares , para pasar desapercibido por sistemas de navegación automatizados y sandboxes.

Las amenazas estaban dirigidas principalmente a usuarios de Japón, aunque también de Nueva Zelanda, Canadá y Estados Unidos. Curiosamente, Proofpoint realizó igualmente campañas CoGUI relacionadas con las finanzas en abril de 2025, coincidiendo con el anuncio de aranceles por parte del gobierno de Estados Unidos y mencionando este tema como señuelo en sus mensajes. Este alto volumen de phishing hacia Japón no es nuevo, ya que en 2020 Proofpoint publicó un informe sobre campañas maliciosas en japonés utilizando técnicas similares. De hecho, las autoridades japonesas dieron recientemente detalles sobre un aumento en la actividad de phishing dirigida a organizaciones financieras para obtener ganancias ilícitas y, en la mayoría de los casos, utilizarlas para comprar acciones chinas.

Dado el volumen de actividad, la variedad de abuso de la marca, el calendario de las campañas que utilizan la misma marca y la diferente infraestructura de alojamiento, Proofpoint considera que este kit de phishing es utilizado por varios ciberdelincuentes diferentes. Según las características del kit y la actividad identificada, es probable que los usuarios del kit de phishing CoGUI sean atacantes de habla china que se dirigen a personas de habla japonesa en Japón. Las campañas observadas dirigidas a usuarios fuera de Japón también se dirigen a hablantes de japonés ya organizaciones con operaciones y empleados en Japón.

Asimismo, mientras analizaban los kits de phishing CoGUI, los investigadores de Proofpoint observaron similitudes con otro tipo de actividad que estaban rastreando: Road Toll Smishing, que hace referencia a mensajes SMS sobre facturas de peaje pendientes en Estados Unidos en los que se pide a los destinatarios que inicien el proceso de reembolso haciendo clic en la URL proporcionada. Entre las referencias se encuentran los archivos .js y .css, el mismo servicio específico online para perfilar el navegador del lenguaje del usuario, chino en el código y en las respuestas. No obstante, Proofpoint ha logrado superar las técnicas de CoGUI, lo que proporciona a los clientes protección contra versiones e implementaciones conocidas del kit.

Aunque una de las cosas que destaca de estas campañas de CoGUI es que no incluyen funciones para recopilar credenciales de autenticación multifactor, que se están convirtiendo en un estándar para los servicios de phishing de credenciales con más frecuencia. Según Proofpoint, es posible que existan instancias utilizadas por CoGUI que no se hayan observado.

«Los kits de phishing utilizan señuelos que imitan marcas y servicios de confianza para aumentar la probabilidad de que los usuarios hagan clic en los enlaces proporcionados. Estos mensajes a menudo crean una sensación de urgencia para completar una tarea, pero es necesario reducir la velocidad, visitar la web oficial del servicio e iniciar sesión en la cuenta para investigar más a fondo la veracidad de los señuelos» , aconsejan desde el equipo de investigación de amenazas de Proofpoint. «Las organizaciones deben informar a los usuarios sobre la suplantación de identidad de marcas financieras y de consumo populares, así como a los equipos de TI cuando los observan. La implementación de la autenticación multifactor en todas las aplicaciones y servicios, FIDO u otros tokens de seguridad física reducen el riesgo de filtración de credenciales de usuario y sus consecuencias» .

Picture of Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.