Hackers usan archivos PDF para hacerse pasar por Microsoft, DocuSign y otros en campañas de phishing con devolución de llamada

Los investigadores de ciberseguridad están llamando la atención sobre las campañas de phishing que se hacen pasar por marcas populares y engañan a los objetivos para que llamen a números de teléfono operados por actores de amenazas.

«Una parte significativa de las amenazas de correo electrónico con archivos PDF persuaden a las víctimas a llamar a números de teléfono controlados por el adversario, mostrando otra técnica popular de ingeniería social conocida como Entrega de Ataques Orientados a Teléfonos (TOAD), también conocida como phishing de devolución de llamada», dijo el investigador de Cisco Talos, Omid Mirzaei , en un informe compartido con The Hacker News.

Un análisis de correos electrónicos de phishing con archivos PDF adjuntos entre el 5 de mayo y el 5 de junio de 2025 reveló que Microsoft y DocuSign son las marcas más suplantadas. NortonLifeLock, PayPal y Geek Squad se encuentran entre las marcas más suplantadas en correos electrónicos TOAD con archivos PDF adjuntos.

Esta actividad forma parte de ataques de phishing más amplios que intentan aprovechar la confianza que los usuarios tienen en marcas populares para iniciar acciones maliciosas. Estos mensajes suelen incluir archivos PDF adjuntos con marcas legítimas como Adobe y Microsoft para escanear códigos QR maliciosos que apuntan a páginas de inicio de sesión falsas de Microsoft o para hacer clic en enlaces que redirigen a los usuarios a páginas de phishing que se hacen pasar por servicios como Dropbox.

También se ha descubierto que los correos electrónicos de phishing con códigos QR y cargas útiles en formato PDF aprovechan las anotaciones en PDF para incrustar las URL en una nota adhesiva, un comentario o campos de formulario dentro de un archivo PDF adjunto, al tiempo que vinculan los códigos QR a una página web auténtica para dar la impresión de que los mensajes son confiables.

En los ataques basados en TOAD, se induce a las víctimas a llamar a un número de teléfono con el pretexto de resolver un problema o confirmar una transacción. Durante la llamada, el atacante se hace pasar por un representante legítimo del cliente y engaña a la víctima para que revele información confidencial o instale malware en sus dispositivos.

La mayoría de las campañas TOAD se basan en la ilusión de urgencia, pero su efectividad a menudo depende de cuán convincentemente los atacantes imiten los flujos de trabajo de soporte reales, utilizando tácticas de centro de llamadas con guión, música en espera e incluso identificadores de llamadas falsificados.

Esta técnica ha sido un método popular entre los actores de amenazas para instalar troyanos bancarios en dispositivos Android y programas de acceso remoto en las máquinas de las víctimas para obtener acceso persistente. En mayo de 2025, el FBI de EE. UU. advirtió sobre este tipo de ataques perpetrados por un grupo con motivaciones económicas llamado Luna Moth para vulnerar las redes objetivo haciéndose pasar por personal del departamento de TI.

«Los atacantes utilizan la comunicación de voz directa para explotar la confianza de la víctima en las llamadas telefónicas y la percepción de que la comunicación telefónica es una forma segura de interactuar con una organización», afirmó Mirzaei. «Además, la interacción en vivo durante una llamada telefónica permite a los atacantes manipular las emociones y respuestas de la víctima mediante tácticas de ingeniería social».

Cisco Talos dijo que la mayoría de los actores de amenazas usan números de Voz sobre Protocolo de Internet (VoIP) para permanecer anónimos y dificultar el rastreo, y algunos números se reutilizan consecutivamente durante hasta cuatro días, lo que permite a los atacantes realizar ataques de ingeniería social de múltiples etapas utilizando el mismo número.

La suplantación de marca es una de las técnicas de ingeniería social más populares , y los atacantes la utilizan continuamente en diferentes tipos de amenazas por correo electrónico, afirmó la compañía. Por lo tanto, un motor de detección de suplantación de marca desempeña un papel fundamental en la defensa contra ciberataques.

En los últimos meses, las campañas de phishing también han aprovechado una función legítima de Microsoft 365 (M365) llamada Envío Directo para suplantar a usuarios internos y enviar correos electrónicos de phishing sin necesidad de comprometer una cuenta. Este novedoso método se ha utilizado para atacar a más de 70 organizaciones desde mayo de 2025, según Varonis.

Estos mensajes falsificados no solo parecen originarse dentro de la organización víctima, sino que también aprovechan el hecho de que las direcciones de host inteligentes siguen un patrón predecible («<tenant_name>.mail.protection.outlook.com») para enviar correos electrónicos de phishing sin requerir autenticación.

Esta táctica comparte similitudes con el vishing, las estafas de soporte técnico y el compromiso de correo electrónico empresarial (BEC), pero difiere en el vector de entrega y la persistencia. Mientras que algunos atacantes presionan a las víctimas para que descarguen software de acceso remoto como AnyDesk o TeamViewer, otros las redirigen a través de portales de pago falsos o se hacen pasar por departamentos de facturación para obtener información de tarjetas de crédito, ampliando así la superficie de ataque más allá del robo de credenciales.

En un correo electrónico de phishing enviado el 17 de junio de 2025, el cuerpo del mensaje se parecía a una notificación de correo de voz e incluía un archivo PDF adjunto que contenía un código QR que dirigía a los destinatarios a una página de recopilación de credenciales de Microsoft 365.

En muchos de sus primeros intentos de acceso, el actor de amenazas utilizó la función de Envío Directo de M365 para dirigirse a una organización con mensajes de phishing menos escrutados que el correo electrónico entrante estándar, afirmó el investigador de seguridad Tom Barnea . Esta simplicidad convierte al Envío Directo en un vector atractivo y de bajo esfuerzo para las campañas de phishing.

La revelación surge a medida que una nueva investigación de Netcraft descubrió que al preguntar a los modelos de lenguaje grandes (LLM) dónde iniciar sesión en 50 marcas diferentes en varios sectores como finanzas, comercio minorista, tecnología y servicios públicos, se sugirieron nombres de host no relacionados como respuestas que no eran propiedad de las marcas en primer lugar.

«Dos tercios de las veces, el modelo devolvió la URL correcta», afirmó la empresa . «Pero en el tercio restante, los resultados se desglosaron así: casi el 30 % de los dominios no estaban registrados, estaban aparcados o inactivos, lo que los dejaba vulnerables a la adquisición. Otro 5 % dirigía a los usuarios a empresas completamente ajenas».

Esto también significa que es probable que los usuarios sean enviados a un sitio web falso con solo preguntarle a un chatbot de inteligencia artificial (IA) dónde iniciar sesión, lo que abre la puerta a ataques de suplantación de marca y phishing cuando los actores de amenazas reclaman el control de estos dominios no registrados o no relacionados.

Dado que los actores de amenazas ya utilizan herramientas impulsadas por IA para crear páginas de phishing a gran escala, el último desarrollo marca un nuevo giro en el que los ciberdelincuentes buscan jugar con la respuesta de un LLM al mostrar URL maliciosas como respuestas a consultas.

Netcraft dijo que también ha observado intentos de envenenar asistentes de codificación de IA como Cursor mediante la publicación de API falsas en GitHub que albergan la funcionalidad para enrutar transacciones en la cadena de bloques Solana a una billetera controlada por el atacante.

«El atacante no solo publicó el código», afirmó el investigador de seguridad Bilaal Rashid. «Publicó tutoriales en blogs, foros de preguntas y respuestas y docenas de repositorios de GitHub para promocionarlo. Varias cuentas falsas de GitHub compartían un proyecto llamado Moonshot-Volume-Bot, distribuido en cuentas con biografías completas, imágenes de perfil, cuentas de redes sociales y actividad de programación fiable. Estas no eran cuentas desechables, sino que estaban diseñadas para ser indexadas por canales de entrenamiento de IA».

Estos desarrollos también se producen tras los esfuerzos concertados de actores de amenazas para inyectar JavaScript o HTML en sitios web de renombre (por ejemplo, dominios .gov o .edu) con el fin de influir en los motores de búsqueda para que prioricen los sitios de phishing en los resultados de búsqueda. Esto se logra mediante un mercado ilícito llamado Hacklink.

El servicio «permite a los ciberdelincuentes comprar acceso a miles de sitios web comprometidos e inyectar código malicioso diseñado para manipular los algoritmos de los motores de búsqueda», afirmó el investigador de seguridad Andrew Sebborn . «Los estafadores utilizan los paneles de control de Hacklink para insertar enlaces a sitios web de phishing o ilícitos en el código fuente de dominios legítimos pero comprometidos».

Estos enlaces salientes se asocian con palabras clave específicas para que los sitios web pirateados aparezcan en los resultados de búsqueda cuando los usuarios buscan términos relevantes. Para colmo, los atacantes pueden modificar el texto que aparece en los resultados de búsqueda para adaptarlo a sus necesidades sin tener que controlar el sitio en cuestión, lo que afecta la integridad de la marca y la confianza del usuario.

Fuente y redacción: thehackernews.com

Qué es el Vishing: estafa a través de llamadas o mensajes de voz

APT38 de Corea del Norte vinculado al robo de US$10 millones al Banco de Chile

Microsoft obtiene una orden judicial para eliminar los dominios utilizados para apuntar a Ucrania