Se ha observado que los actores de amenazas detrás de los ataques de phishing de devolución de llamadas de BazaCall aprovechan Google Forms para darle al esquema un barniz de credibilidad.
El método es un «intento de elevar la autenticidad percibida de los correos electrónicos maliciosos iniciales», dijo la firma de ciberseguridad Abnormal Security en un informe publicado hoy.
BazaCall (también conocido como BazarCall), que se observó por primera vez en 2020, se refiere a una serie de ataques de phishing en los que se envían a los objetivos mensajes de correo electrónico que se hacen pasar por avisos de suscripción legítimos, instándolos a comunicarse con un servicio de soporte para disputar o cancelar el plan, o arriesgarse a ser Se cobra entre $ 50 y $ 500.
Al inducir una falsa sensación de urgencia, el atacante convence al objetivo mediante una llamada telefónica para que le otorgue capacidades de acceso remoto utilizando un software de escritorio remoto y, en última instancia, establezca persistencia en el host con el pretexto de ofrecer ayuda para cancelar la supuesta suscripción.
Algunos de los servicios populares que se suplantan incluyen Netflix, Hulu, Disney+, Masterclass, McAfee, Norton y GeekSquad.
En la última variante de ataque detectada por Abnormal Security, un formulario creado con Google Forms se utiliza como conducto para compartir detalles de la supuesta suscripción.
Vale la pena señalar que el formulario tiene habilitados los recibos de respuesta, lo que envía una copia de la respuesta al encuestado por correo electrónico, de modo que el atacante pueda enviar una invitación para completar el formulario él mismo y recibir las respuestas.
«Debido a que el atacante habilitó la opción de recibo de respuesta, el objetivo recibirá una copia del formulario completo, que el atacante ha diseñado para que parezca una confirmación de pago para el software Norton Antivirus», dijo el investigador de seguridad Mike Britton.
El uso de Google Forms también es inteligente porque las respuestas se envían desde la dirección «forms-receipts-noreply@google[.]com», que es un dominio confiable y, por lo tanto, tiene una mayor probabilidad de eludir las puertas de enlace de correo electrónico seguras. como lo demuestra una reciente campaña de phishing de Google Forms descubierta por Cisco Talos el mes pasado.
«Además, Google Forms suele utilizar URL generadas dinámicamente», explicó Britton. «La naturaleza en constante cambio de estas URL puede evadir las medidas de seguridad tradicionales que utilizan análisis estático y detección basada en firmas, que se basan en patrones conocidos para identificar amenazas».
El actor de amenazas apunta a los reclutadores con la puerta trasera More_eggs
La divulgación llega cuando Proofpoint reveló una nueva campaña de phishing dirigida a los reclutadores con correos electrónicos directos que en última instancia conducen a una puerta trasera de JavaScript conocida como More_eggs.
La firma de seguridad empresarial atribuyó la ola de ataques a un «actor de amenazas capacitado y motivado financieramente» que rastrea como TA4557 , que tiene un historial de abuso de servicios de mensajería legítimos y ofrece trabajos falsos por correo electrónico para finalmente entregar la puerta trasera More_eggs.
«Específicamente en la cadena de ataque que utiliza la nueva técnica de correo electrónico directo, una vez que el destinatario responde al correo electrónico inicial, se observó que el actor respondía con una URL que enlazaba a un sitio web controlado por el actor haciéndose pasar por el currículum de un candidato», dijo Proofpoint.
«Alternativamente, se observó al actor respondiendo con un archivo adjunto en PDF o Word que contenía instrucciones para visitar el sitio web del currículum falso».
More_eggs se ofrece como malware como servicio y lo utilizan otros grupos cibercriminales destacados como Cobalt Group (también conocido como Cobalt Gang), Evilnum y FIN6. A principios de este año, eSentire vinculó el malware a dos operadores de Montreal y Bucarest.
Fuente y redacción: thehackernews.com
