7 Shares 1520 Views 1 Comments

Ciberdelincuentes crean su propia plataforma de streaming para distribuir malware

7 junio, 2021
7 Compartido 1,520 Visualizaciones 1

Los ciberdelincuentes llevan la ingeniería social al siguiente nivel creando una falsa plataforma de streaming desde cero

Los ciberdelincuentes están aprovechándose de manera muy eficaz y oportuna de las plataformas de entretenimiento online para comprometer la seguridad de los usuarios a través del correo electrónico y otros documentos maliciosos. Si bien en 2020, durante el confinamiento por la pandemia, se dispararon las suscripciones a servicios de streaming superando los mil millones de usuarios en todo el mundo, este año está disminuyendo el consumo de estos contenidos o bien se tiende más a darse de alta gratis en uno de estos servicios y cancelarlo cuando finaliza el periodo de prueba. Esta tendencia en el comportamiento de los usuarios ha sido rápidamente explotada por los artífices de una nueva campaña con el downloader BazaLoader, detectada por primera vez a principios de mayo de 2021 por la empresa de ciberseguridad Proofpoint.

No obstante, en esta ocasión, «los ciberdelincuentes llevaron la ingeniería social al siguiente nivel en cuanto a creatividad«, como así afirma Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. ¿Y cómo lo hicieron? Creando su propia plataforma de streaming llamada BravoMovies que incluía además un catálogo de películas, aunque todas eran falsas. “Sí que habíamos visto ataques en los que se utilizaban conocidas marcas de streaming para phishing de credenciales, pero esto es algo totalmente nuevo. Nunca habíamos visto antes que los atacantes creasen de cero una plataforma fraudulenta de este tipo y de forma tan completa. Cada vez son más creativos en sus amenazas dados los esfuerzos de las organizaciones por detener amenazas de malware que, en muchos casos, pueden derivar en incidentes de ransomware”, prosigue DeGrippo.

Desde hace décadas se ha comprobado la efectividad de la ingeniería social como vector de ataque, de ahí que siga utilizándose para desencadenar en el usuario una respuesta que le lleve a realizar una acción o serie de acciones concretas. En esta campaña de BazaLoader la víctima recibía un email en el cual se decía que su suscripción de prueba a BravoMovies estaba a punto de finalizar o que ya lo había hecho y se había modificado su perfil hacia una cuenta prémium del servicio. También aparecían números de teléfono y otras referencias a la supuesta empresa BravoMovies, así como avisos al usuario de que, si no cancelaba su suscripción, se haría un cargo en su cuenta bancaria.    

Entraba aquí otra de las novedades de esta campaña de BazaLoader y que subraya la importancia de la interacción humana en el actual panorama de ciberamenazas: en la cadena de infección se incluía un servicio de atención telefónica para que las víctimas se descargasen e instalasen el malware sin saberlo. Lograr que un usuario levante el teléfono y haga una llamada requiere sin duda de más esfuerzo por parte de los ciberdelincuentes. Según DeGrippo, «estas estafas relacionadas con un supuesto soporte técnico existen desde hace años, pero en el caso de BazaLoader se trata de un fraude más personalizado que utiliza el correo electrónico como cebo inicial».

Pese a la cantidad de acciones que se requería al usuario, lo cual disminuye las posibilidades de que complete el ataque con éxito, este enrevesado sistema ayudaba a los atacantes a eludir sistemas automáticos de detección de amenazas que advierten únicamente de enlaces o archivos adjuntos maliciosos en emails. En el último paso, cuando finalmente se conseguía que el usuario entrara al sitio web fraudulento para que siguiese las indicaciones y se diese de baja en el servicio, se descargaba una hoja de Excel con macros que, una vez activados, distribuían BazaLoader.

BazaLoader es un downloader en lenguaje de programación C++ que se usa para descargar y ejecutar módulos adicionales. Proofpoint lo observó por primera vez en abril de 2020 y actualmente sirve a numerosos ciberdelincuentes para realizar ataques disruptivos de malware, incluidos los ransomware Ryuk y Conti. Según la compañía de ciberseguridad, habría muchas probabilidades de que haya una correlación entre los atacantes que distribuyen BazaLoader y quienes lo hacen con el malware The Trick, también conocido como Trickbot. Tanto unos como otros continuarán utilizando estas elaboradas técnicas de ingeniería social en futuras campañas de amenazas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Nueva incorporación a la red de Partners de Loozend
Actualidad
3 compartido612 visualizaciones
Actualidad
3 compartido612 visualizaciones

Nueva incorporación a la red de Partners de Loozend

Alicia Burrueco - 24 diciembre, 2019

Con este acuerdo, la empresa de servicios informáticos reforzará su oferta en soluciones de ciberseguridad, protección y recuperación de datos.…

En 2018 los ciberataques dependerán de las vulnerabilidades
Actualidad
41 compartido1,163 visualizaciones
Actualidad
41 compartido1,163 visualizaciones

En 2018 los ciberataques dependerán de las vulnerabilidades

José Luis - 13 febrero, 2018

Para Trend Micro el cambiante panorama tecnológico requerirá de una gestión fiable de parches para bloquear las amenazas más recientes.…

Las claves para estar protegido en WhatsApp
Actualidad
28 compartido2,308 visualizaciones
Actualidad
28 compartido2,308 visualizaciones

Las claves para estar protegido en WhatsApp

Vicente Ramírez - 27 mayo, 2019

La compañía destaca que los ataques a las aplicaciones que más se usan han aumentado debido a los beneficios económicos…

Un comentario

  1. Pingback: Peligro, peligro y más peligro - Blog TECNOideas 2.0

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.