Los estafadores de soporte técnico atraen a las víctimas con correos electrónicos falsos de facturación de antivirus

Los estafadores de soporte técnico pretenden ser de Microsoft, McAfee y Norton para dirigirse a los usuarios con renovaciones falsas de facturación de antivirus en una campaña de correo electrónico a gran escala.

Mientras navega por la web, la mayoría de las personas en un momento u otro han sido redirigidas a un sitio web fraudulento de soporte técnico que finge que su computadora está infectada y luego les pide que marquen un número de teléfono que se muestra.

Estas estafas son frecuentes en sitios que utilizan redes publicitarias de baja calidad, pero es mucho menos común recibirlas por correo electrónico.

En conversación con Nicolas Joffre, Gerente Regional de SOC en una empresa de seguridad de correo electrónico Vade Secure, BleepingComputer se enteró de que la nueva estafa de soporte técnico por correo electrónico comenzó en marzo.

Esta estafa comenzó con volúmenes bajos de correo electrónico, pero rápidamente creció en volúmenes hasta 200.000 correos electrónicos en un solo día. En total, desde el inicio de la estafa, Vade Secure ha filtrado más de 1 millón de estos correos electrónicos dirigidos a sus clientes, como se muestra en el gráfico a continuación.

Los correos electrónicos pretenden ser alertas de facturación de Norton Lifelock, Microsoft y McAfee que afirman que al destinatario se le cobrará entre $ 350 y $ 399 por una suscripción de tres años, a menos que llamen para cancelar la suscripción. Los actores de la amenaza cambian constantemente el tema del correo electrónico, pero todos fingen ser una suscripción de facturación de una conocida empresa de seguridad.

Como puede ver a continuación, una de las estafas de soporte técnico pretende ser de Norton Lifelock y afirma que al destinatario se le cobrará $ 349 por una suscripción de tres años a menos que llame al número incluido para cancelarla.

Dado que se trata de alertas de facturación falsas, la esperanza es que el destinatario llame al número para que lo engañen y le brinde acceso remoto a su computadora.

Cuando los usuarios llamen a los números de teléfono incluidos, los estafadores instalarán varios software de acceso remoto que los actores de amenazas usarán para instalar malware en la computadora.

La estafa de soporte técnico

Al enterarse de la estafa, BleepingComputer tuvo que llamar al número de teléfono incluido para ver cómo funcionan estos estafadores.

Cuando llamamos al número y le dijimos al estafador que recibimos un aviso de suscripción a Norton pero que no teníamos el software instalado, inmediatamente nos preguntaron qué software de seguridad usamos.

Cuando dijimos que usamos Windows Defender, inmediatamente fingieron ser de Microsoft y dijeron que cobrarían más de $ 300 por la suscripción a menos que la cancelamos.

Para cancelar la suscripción, tuvimos que visitar 1800support.weebly[.]com, que pretende ser un sitio de soporte de BestBuy Geek Squad.

A partir de ahí, nos guiaron a través de la descarga del software de acceso remoto AnyDesk y nos dijeron cómo habilitarlo para el acceso desatendido. Una vez que el estafador tomó el control de nuestra computadora, transfirió un escáner falso "Sonicwall Aprobado por la NSA", como se muestra a continuación.

Este programa estaba destinado a asustar al objetivo haciéndole creer que estaba infectado con algo realmente peligroso y permitir que el estafador continuara instalando software adicional, como TeamViewer, y recopilara información personal.

En realidad, el escáner anterior no es más que un archivo por lotes que muestra la salida del comando wevtutil.exe que borra los registros de eventos de Windows del objetivo.

Al completar la herramienta, el estafador nos pidió que abramos una ventana del Bloc de notas e ingresemos nuestro nombre, dirección, número de teléfono y fecha de nacimiento, que los estafadores nos dijeron que eran necesarios para procesar el reembolso de la suscripción al antivirus.

Mientras recopilaban información sin sentido, comenzaron a instalar TeamViewer en segundo plano y a configurarlo para el acceso desatendido a nuestra computadora.

Como este proceso estaba tardando demasiado en completarse y, sorprendentemente, lo llevó a cabo un estafador muy grosero, cerramos la sesión de AnyDesk.

Aunque BleepingComputer no esperó para confirmar el resultado completo de esta estafa, Vade Secure cree que esta información personal recopilada se está vendiendo a otros actores de amenazas para sus propios ataques. También creen que el inicio de sesión de TeamViewer se utilizará más adelante para instalar malware o insertar el dispositivo en la botnet de spam del actor de amenazas.

Desafortunadamente, muchas personas se enamoran de estas estafas y brindan a las amenazas acceso remoto a sus computadoras. Desafortunadamente, es aún más común que las personas mayores caigan en esta estafa, ya que es posible que no tengan mucha experiencia con las computadoras y se les dice a los atacantes que están tratando de vaciar sus cuentas bancarias.

La mejor línea de defensa contra las estafas por correo electrónico es nunca llamar a un número de teléfono incluido en un correo electrónico que indique que debe dinero. En su lugar, debe visitar el sitio web de la empresa y comunicarse con el número que aparece para confirmar si un correo electrónico es válido o no.

Más importante aún, ninguna compañía legítima le pedirá que les otorgue acceso remoto o le pedirá que descargue software para procesar un reembolso.

Tan pronto como una persona te diga que hagas esto, debes considerarlo inmediatamente como una estafa y colgar el teléfono.