Una nueva oleada de ataques BazarCall utiliza Google Forms para generar y enviar recibos de pago a las víctimas, generando un ataque phishing más sofisticado. Este método es un «intento de elevar la autenticidad percibida de los correos electrónicos maliciosos iniciales», afirma la empresa de ciberseguridad Abnormal Security en un informe publicado recientemente.
Cabe destacar que los hallazgos de Abnormal Security se produjeron apenas un par de semanas después de que el FBI advirtiera a los usuarios del Silent Ransom Group (SRG), también identificado como Luna Moth, que emplea técnicas de phishing Callback para el hackeo de redes.
Antecedes de BazarCall
BazarCall, documentado por primera vez en 2021, es un ataque de phishing que utiliza un correo electrónico que se asemeja a una notificación de pago o confirmación de suscripción a software de seguridad, soporte informático, plataformas de streaming y otras marcas conocidas.
En estos correos se indica al destinatario que se le está renovando automáticamente una suscripción excesivamente cara y que debe cancelarla si no quiere que se le cobre.
Sin embargo, en lugar de contener un enlace a un sitio web, el correo electrónico incluye históricamente un número de teléfono de un supuesto agente de atención al cliente de esa marca, con el que se puede contactar para disputar los cargos o cancelar la suscripción.
Como se puede observar en la Fig. Anterior, el correo electrónico insta a los destinatarios a llamar a un número de teléfono proporcionado para disputar los cargos o cancelar un servicio, creando una sensación de urgencia.
Sin embargo, el objetivo real es engañar a las víctimas para que instalen malware durante la llamada telefónica, exponiendo a las organizaciones a futuras ciberamenazas. El malware se llama BazarLoader y, como su nombre indica, es una herramienta para instalar cargas útiles adicionales en el sistema de la víctima.
Nuevo método: Abuso de Google Forms
Lo que diferencia a esta variante de BazarCall es el uso de Google Forms para aumentar la autenticidad de los correos maliciosos. El atacante crea un formulario de Google, añadiendo detalles sobre una transacción falsa, incluyendo un número de factura y la información de pago. A continuación, se activa la opción de recibo de respuesta, que envía una copia del formulario completado a la dirección de correo electrónico del objetivo.
Dado que Google Forms es un servicio legítimo, las herramientas de seguridad de correo electrónico no marcarán ni bloquearán el correo electrónico de phishing, por lo que la entrega a los destinatarios previstos está garantizada. Además, el hecho de que el correo electrónico proceda de una dirección de Google («noreply@google.com») le confiere una legitimidad adicional.
La copia de la factura incluye el número de teléfono del actor de la amenaza, al que se dice a los destinatarios que llamen en un plazo de 24 horas desde la recepción del correo electrónico para realizar cualquier reclamación, por lo que el elemento de urgencia está presente.
En una entrada de blog, Mike Britton, Director de Seguridad de la Información de Abnormal Security, explica que el atacante manipula aún más el proceso enviándose a sí mismo la invitación al formulario, completándolo con la dirección de correo electrónico del objetivo y haciéndolo pasar por una confirmación de pago de un producto o servicio. El uso de Google Forms, enviado desde una dirección legítima de Google, aumenta la legitimidad del ataque, haciéndolo más difícil de detectar.
La naturaleza dinámica de las URL de los formularios de Google complica aún más la detección, ya que cambian con frecuencia y eluden el análisis estático y la detección basada en firmas que utilizan muchas herramientas de seguridad. Mike señaló además que las herramientas de seguridad de correo electrónico heredadas, como las puertas de enlace de correo electrónico seguro (SEG), tienen dificultades para discernir la intención maliciosa detrás de estos mensajes de correo electrónico, lo que lleva a que las amenazas potenciales se deslicen a través de las grietas.
El informe de Abnormal no profundiza en las fases posteriores del ataque. Sin embargo, BazarCall se utilizó en el pasado para obtener acceso inicial a redes corporativas, lo que normalmente conducía a ataques de ransomware.
Recomendaciones para hacer frente a este tipo de ataques
Por varias razones, detectar con precisión este correo electrónico como una amenaza potencial resulta difícil para las herramientas de seguridad de correo electrónico heredadas, como las puertas de enlace de correo electrónico seguro (SEG).
En primer lugar, no hay indicadores claros de compromiso, como un enlace malicioso o un archivo adjunto dañino. Los únicos enlaces incluidos en el correo electrónico están alojados en google[.]com, un dominio reputado y de confianza. Además, Google Forms es un servicio legítimo y ampliamente utilizado para crear encuestas, cuestionarios y formularios. Los correos electrónicos utilizados en los ataques de BazarCall proceden de una fuente de confianza y pueden parecer benignos, lo que dificulta a los SEG distinguirlos de los formularios legítimos.
Por último, los SEG pueden tener dificultades para detectar intenciones maliciosas en los mensajes de correo electrónico que contienen enlaces a formularios de Google, especialmente si el comportamiento parece coherente con las interacciones normales de los usuarios con formularios legítimos.
En base a esto, las soluciones de seguridad de correo electrónico nativas de IA aplican las últimas capacidades de aprendizaje automático para identificar correctamente este correo electrónico como un ataque. Mediante el uso de IA conductual y análisis de contenido, una plataforma moderna detecta la suplantación de una marca y el intento de phishing y marca con precisión el correo electrónico como malicioso. Al no centrarse únicamente en el remitente o en la presencia de un enlace de carga útil, una plataforma de seguridad de correo electrónico basada en IA puede detener este ataque antes de que llegue a los usuarios finales.
Para navegar por el cambiante panorama de las ciberamenazas, es crucial mantenerse informado sobre métodos de ataque sofisticados como esta variante de BazarCall. Adoptar soluciones avanzadas de seguridad del correo electrónico que aprovechen la inteligencia artificial es primordial para proteger eficazmente a organizaciones y particulares de las tácticas siempre cambiantes de los ciberdelincuentes.
Referencia:
https://www.hackread.com/scammers-weaponize-google-forms-bazarcall-attack/
