7 Shares 1334 Views 1 Comments

Ciberdelincuentes crean su propia plataforma de streaming para distribuir malware

7 junio, 2021
7 Compartido 1,334 Visualizaciones 1

Los ciberdelincuentes llevan la ingeniería social al siguiente nivel creando una falsa plataforma de streaming desde cero

Los ciberdelincuentes están aprovechándose de manera muy eficaz y oportuna de las plataformas de entretenimiento online para comprometer la seguridad de los usuarios a través del correo electrónico y otros documentos maliciosos. Si bien en 2020, durante el confinamiento por la pandemia, se dispararon las suscripciones a servicios de streaming superando los mil millones de usuarios en todo el mundo, este año está disminuyendo el consumo de estos contenidos o bien se tiende más a darse de alta gratis en uno de estos servicios y cancelarlo cuando finaliza el periodo de prueba. Esta tendencia en el comportamiento de los usuarios ha sido rápidamente explotada por los artífices de una nueva campaña con el downloader BazaLoader, detectada por primera vez a principios de mayo de 2021 por la empresa de ciberseguridad Proofpoint.

No obstante, en esta ocasión, «los ciberdelincuentes llevaron la ingeniería social al siguiente nivel en cuanto a creatividad«, como así afirma Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. ¿Y cómo lo hicieron? Creando su propia plataforma de streaming llamada BravoMovies que incluía además un catálogo de películas, aunque todas eran falsas. “Sí que habíamos visto ataques en los que se utilizaban conocidas marcas de streaming para phishing de credenciales, pero esto es algo totalmente nuevo. Nunca habíamos visto antes que los atacantes creasen de cero una plataforma fraudulenta de este tipo y de forma tan completa. Cada vez son más creativos en sus amenazas dados los esfuerzos de las organizaciones por detener amenazas de malware que, en muchos casos, pueden derivar en incidentes de ransomware”, prosigue DeGrippo.

Desde hace décadas se ha comprobado la efectividad de la ingeniería social como vector de ataque, de ahí que siga utilizándose para desencadenar en el usuario una respuesta que le lleve a realizar una acción o serie de acciones concretas. En esta campaña de BazaLoader la víctima recibía un email en el cual se decía que su suscripción de prueba a BravoMovies estaba a punto de finalizar o que ya lo había hecho y se había modificado su perfil hacia una cuenta prémium del servicio. También aparecían números de teléfono y otras referencias a la supuesta empresa BravoMovies, así como avisos al usuario de que, si no cancelaba su suscripción, se haría un cargo en su cuenta bancaria.    

Entraba aquí otra de las novedades de esta campaña de BazaLoader y que subraya la importancia de la interacción humana en el actual panorama de ciberamenazas: en la cadena de infección se incluía un servicio de atención telefónica para que las víctimas se descargasen e instalasen el malware sin saberlo. Lograr que un usuario levante el teléfono y haga una llamada requiere sin duda de más esfuerzo por parte de los ciberdelincuentes. Según DeGrippo, «estas estafas relacionadas con un supuesto soporte técnico existen desde hace años, pero en el caso de BazaLoader se trata de un fraude más personalizado que utiliza el correo electrónico como cebo inicial».

Pese a la cantidad de acciones que se requería al usuario, lo cual disminuye las posibilidades de que complete el ataque con éxito, este enrevesado sistema ayudaba a los atacantes a eludir sistemas automáticos de detección de amenazas que advierten únicamente de enlaces o archivos adjuntos maliciosos en emails. En el último paso, cuando finalmente se conseguía que el usuario entrara al sitio web fraudulento para que siguiese las indicaciones y se diese de baja en el servicio, se descargaba una hoja de Excel con macros que, una vez activados, distribuían BazaLoader.

BazaLoader es un downloader en lenguaje de programación C++ que se usa para descargar y ejecutar módulos adicionales. Proofpoint lo observó por primera vez en abril de 2020 y actualmente sirve a numerosos ciberdelincuentes para realizar ataques disruptivos de malware, incluidos los ransomware Ryuk y Conti. Según la compañía de ciberseguridad, habría muchas probabilidades de que haya una correlación entre los atacantes que distribuyen BazaLoader y quienes lo hacen con el malware The Trick, también conocido como Trickbot. Tanto unos como otros continuarán utilizando estas elaboradas técnicas de ingeniería social en futuras campañas de amenazas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Watchguard presenta nuevos servicios y soluciones de seguridad perimetral y Wireless
Actualidad
10 compartido1,349 visualizaciones
Actualidad
10 compartido1,349 visualizaciones

Watchguard presenta nuevos servicios y soluciones de seguridad perimetral y Wireless

Vicente Ramírez - 10 mayo, 2018

La presentación de los nuevos servicios y soluciones tendrá lugar en las jornadas dirigidas a los partners de la compañía…

¿Acciones de branding online para empresas de ciberseguridad?
Sin categoría
5 compartido2,073 visualizaciones
Sin categoría
5 compartido2,073 visualizaciones

¿Acciones de branding online para empresas de ciberseguridad?

Alicia Burrueco - 22 abril, 2020

Debido a la situación actual, muchas empresas españolas de muchos sectores diferentes han debido de reinventarse y adaptarse al entorno…

ESET desactiva la botnet VictoryGate
Actualidad
7 compartido1,388 visualizaciones
Actualidad
7 compartido1,388 visualizaciones

ESET desactiva la botnet VictoryGate

Aina Pou Rodríguez - 29 abril, 2020

Entre las víctimas que se dedican a minar la criptodivisa Monero se encuentran empresas públicas, privadas e instituciones financieras  ESET,…

Un comentario

  1. Pingback: Peligro, peligro y más peligro - Blog TECNOideas 2.0

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.