Se ha abusado de Google Forms y Telegram para recopilar credenciales de phishing


Los investigadores de seguridad notan un aumento en los métodos alternativos para robar datos de ataques de phishing, ya que los estafadores obtienen la información robada a través de Google Forms o bots privados de Telegram.

El correo electrónico sigue siendo el método preferido para filtrar información robada, pero estos canales presagian una nueva tendencia en la evolución de los kits de phishing.

Tendencia de exfiltración de datos remotos

Al analizar los kits de phishing durante el año pasado, los investigadores de la empresa de ciberseguridad Group-IB observaron que muchas de estas herramientas permiten la recopilación de datos de usuarios robados mediante Google Forms y Telegram.

Estos se consideran métodos alternativos para obtener datos comprometidos y representan casi el 6% de lo que han detectado los analistas del Grupo IB, una proporción que es probable que aumente en el corto plazo.

El almacenamiento de la información en un archivo local sobre el recurso de phishing también forma parte de los métodos alternativos de exfiltración y representa el porcentaje más alto de todos.

El uso de Telegram no es nuevo ya que los operadores han optado por que el servicio sea anónimo y fácil de usar. El infame kit de phishing 16Shop tenía esta opción en 2019.

Una operación de estafa como servicio utilizada por al menos 40 bandas de ciberdelincuentes para hacerse pasar por anuncios populares, también se basó en los bots de Telegram para entregar páginas web fraudulentas.

El envío de datos robados recopilados por un sitio de phishing a un formulario de Google se realiza mediante una solicitud POST a un formulario en línea cuyo enlace está incrustado en el kit de phishing.

En comparación con el correo electrónico, que puede bloquearse o secuestrarse y perderse registros, este es un método más seguro para filtrar información, dijo Group-IB a BleepingComputer.

Compradores traicioneros de desarrolladores

Otra tendencia que observaron los investigadores fue que los autores de kits de phishing dieron un doble paso para aumentar sus ganancias al agregar código que copia el flujo de datos robados a su host de red.

Group-IB explicó que una forma es configurar la función "enviar" para enviar información al correo electrónico proporcionado por el comprador del kit de phishing, así como una variable "token" asociada con una dirección de correo electrónico oculta.

La solicitud POST de los scripts responsables de enviar los datos también inicializa la variable "token". La decodificación de los datos de "token" muestra que el desarrollador ha asociado dos direcciones de correo electrónico por su valor.

Los investigadores del Grupo IB también vieron que los desarrolladores de kits de phishing ocultaban shells web en el código, lo que les daba acceso remoto al recurso.

En cuanto a los cebos, la compañía ha identificado más de 260 marcas únicas, la mayoría de ellas para servicios en línea (30,7%: herramientas en línea para ver documentos, compras en línea, servicios de transmisión y más), clientes de correo electrónico (22,8%) y organizaciones financieras. (20%), que son objetivos típicos.

Los usuarios de los productos de Microsoft, PayPal, Google y Yahoo fueron los principales objetivos, dicen los investigadores.

Yaroslav Kargalev, subdirector del equipo de respuesta a incidentes de Group-IB (CERT-GIB) dice que los estafadores de hoy están utilizando la automatización para reemplazar las páginas de phishing bloqueadas más rápido.

Una consecuencia directa de esto es la propagación de "ingeniería social más compleja utilizada en ataques a gran escala", dice Kargalev, que requiere que se bloquee toda la infraestructura del atacante frente a los sitios web de phishing.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir