Infoblox ha publicado su informe del segundo trimestre de 2022, llamando la atención sobre muchas amenazas de malware peligrosas para las organizaciones. La investigación recopila las principales amenazas y brechas de seguridad detectadas durante los meses de abril a junio de 2022 y destaca el smishing como una de las formas de ataque más destacadas.
Smishing, una estrategia de ciberataque que combina SMS (servicio de mensajes cortos, también conocidos como mensajes de texto) y phishing, se ha revelado como un nuevo y sofisticado mecanismo para obtener información personal y financiera de las víctimas, a través de formularios falsos en sitios fraudulentos.
Una ola de ataques de VexTrio que utilizan el algoritmo de generación de dominios de diccionario (DDGA) ha infectado numerosos sitios web creados en WordPress, que a su vez infectan a los visitantes de esos sitios con malware o spyware mediante la ejecución de código Javascript.
Infoblox, líder en servicios de red seguros y gestionados en la nube, ha publicado una nueva edición del Quarterly Cyberthreat Intelligence Report de la compañía, un informe de inteligencia de seguridad que recopila trimestralmente las principales amenazas y brechas de seguridad detectadas durante los últimos meses en todo el mundo.
Entre las principales conclusiones de este informe, que cubre los meses de abril a junio de 2022, se encuentran:
Smishing – Una estrategia que combina SMS y phishing
Los malhechores envían mensajes de smishing para que las víctimas revelen información privada, incluidas contraseñas, identidad y datos financieros. Los mensajes suelen incluir algún incentivo para que el destinatario haga clic en un enlace, que puede ser para un sitio que aloja malware o una página que intenta convencer al usuario para que envíe datos a través de un formulario.
Los actores han usado regularmente números de remitentes falsificados en los mensajes de texto para evadir los filtros de spam. Sin embargo, aquellos mensajes que no son detectados automáticamente por el proveedor de telefonía móvil pueden detenerse bloqueando el número de teléfono del remitente. En respuesta, los actores de amenazas continúan desarrollando sus propias técnicas.
En una versión conocida de suplantación de identidad de teléfonos móviles, un destinatario recibe un mensaje de texto o una llamada telefónica de alguien que parece estar en el área cercana al destinatario. Los usuarios dudan en bloquear los números de teléfono locales por temor a que también bloqueen llamadas y mensajes legítimos.
La falsificación del número de teléfono del destinatario es otro avance de los actores para superar el filtrado y bloqueo de spam y para convencer a los usuarios de hacer clic en los enlaces incrustados en los mensajes
Prevención y mitigación
Los mensajes de smishing son un método común para enviar enlaces de phishing. Infoblox recomienda las siguientes precauciones para evitar ataques de smishing:
- Desconfíe siempre de los mensajes de texto inesperados, especialmente aquellos que parecen contener correspondencia, documentos o enlaces financieros o de entrega.
- Nunca haga clic en URL en mensajes de texto de fuentes desconocidas. En la campaña en discusión, la fuente era el destinatario, que no envió el mensaje, y eso es una bandera roja.
Los dominios VexTrio DDGA difunden adware, spyware y formularios web fraudulentos
Desde febrero de 2022, Threat Intelligence Group (TIG) de Infoblox ha estado rastreando campañas maliciosas que usan dominios generados por un algoritmo de generación de dominios de diccionario (DDGA) para ejecutar estafas y difundir software de riesgo, spyware, adware, programas potencialmente no deseados y contenido pornográfico. Este ataque está muy extendido e impacta objetivos en muchas industrias.
Los actores de VexTrio utilizan mucho los dominios y el protocolo DNS para operar sus campañas. Los actores aprovechan los sitios web vulnerables de WordPress como vectores de ataque para ofrecer contenido fraudulento a los visitantes del sitio web que no lo saben.
Para lograr esto, primero detectan sitios web que muestran vulnerabilidades de secuencias de comandos entre sitios (XSS) en temas o complementos de WordPress y luego inyectan código JavaScript malicioso en ellos. Cuando las víctimas visitan estos sitios web, son conducidas a una página web de destino que aloja contenido fraudulento, a través de uno o más dominios de redirección intermediarios que también están controlados por los actores.
Además, como un medio para evitar la detección, los actores han integrado varias funciones en su JavaScript y requieren las siguientes condiciones del usuario para activar la redirección:
- El usuario debe visitar el sitio web de WordPress desde un motor de búsqueda. Por ejemplo, la URL de referencia puede ser https://www.google.com/.
- Las cookies están habilitadas en el navegador web del usuario.
- El usuario no ha visitado una página web comprometida de VexTrio en las últimas 24 horas.
Prevención y mitigación
VexTrio abusa principalmente de los sitios web vulnerables de WordPress para entregar contenido no deseado a los visitantes. Incrustar código JavaScript malicioso en blogs web visitados con frecuencia y otros sitios web populares pero vulnerables ayuda a los actores a ampliar su alcance. Infoblox evalúa que la campaña VexTrio DDGA podría servir como un vector de entrega para otros sindicatos de delitos cibernéticos y, por lo tanto, permitir ataques de seguimiento.
Infoblox recomienda las siguientes acciones para protegerse de este tipo de ataque:
- Deshabilitar completamente JavaScript en los navegadores web, o habilitarlo solo para sitios confiables, puede ayudar a mitigar los ataques empleados por los actores de VexTrio, quienes capitalizan el uso de JavaScript para ejecutar sus tareas.
- Considere usar un programa adblocker para bloquear cierto malware activado por anuncios emergentes. Junto con un bloqueador de anuncios, considere usar la extensión web NoScript, que permite que JavaScript y otro contenido potencialmente dañino se ejecuten solo desde sitios confiables para reducir la superficie de ataque disponible para los actores.
- La implementación de las fuentes RPZ de Infoblox en los firewalls puede detener la conexión de los actores a nivel de DNS, ya que todos los componentes descritos en este informe (sitios web comprometidos, dominios de redireccionamiento intermediario, dominios DDGA y páginas de destino) requieren el protocolo DNS. TIG detecta estos componentes diariamente y los agrega a las fuentes RPZ de Infoblox.
- Aprovechar el servicio Threat Insight de Infoblox, que realiza análisis de transmisión en tiempo real en consultas de DNS en vivo, puede brindar cobertura de alta seguridad y protección contra amenazas que se basan tanto en DGA como en DDGA.
