in

La campaña TangleBot destaca la amenaza de los SMS



Una campaña de malware dirigida a dispositivos Android en los EE. UU. Y Canadá con mensajes de texto atractivos y enlaces que conducen a un descargador ha resaltado el peligro del spam y el phishing por SMS, informan los expertos en seguridad.

La campaña, llamada TangleBot, utiliza noticias relacionadas con el coronavirus para persuadir a los usuarios de que hagan clic en un enlace que conduce a sitios web que intentan recopilar información confidencial de la víctima, según investigadores de la empresa de seguridad de correo electrónico y mensajería Cloudmark en un análisis del 23 de septiembre. La campaña sigue a un intento de los atacantes de utilizar el phishing por SMS, también conocido como smishing, para cometer fraude en el seguro de desempleo de EE. UU.

Trabajar de forma remota ha facilitado los ataques SMS para los estafadores de muchas maneras, dice Jacinta Tobin, vicepresidenta de ventas y operaciones globales en la división Cloudmark de Proofpoint.

«Mucha gente trabaja ahora desde casa, y eso, junto con el hecho de que los números de teléfono celular de los empleados son relativamente fáciles de encontrar, significa que los ataques de mensajería móvil y smishing se están convirtiendo en una gran amenaza para las empresas», dice. «Con TangleBot, incluso si solo el dispositivo de un empleado está infectado, un atacante puede lanzar un ataque generalizado o un ataque de lanza».

TangleBot fue nombrado por sus «muchos niveles de ofuscación y control sobre una variedad de intrincadas funciones del dispositivo, incluidos contactos, funciones de texto y teléfono, registros de llamadas, acceso a Internet, cámara y micrófono», dijo Cloudmark en su análisis. La amenaza permite a los atacantes realizar y bloquear llamadas, enviar y recibir mensajes de texto, colocar superposiciones en la pantalla y grabar audio y video.

La campaña de phishing es solo una de una creciente tendencia de phishing por SMS que, según Tobin, aumentó un 256% en la segunda mitad de 2020 en comparación con la primera mitad.

Los ataques también se han vuelto más personales. El phishing por SMS utiliza cada vez más información personal sobre el propietario de un número de teléfono celular para adaptar los ataques y hacerlos más persuasivos. Los anuncios falsos de rifas de Amazon, los reembolsos falsos de AT&T y las notificaciones fraudulentas de entrega de paquetes de FedEx llegan a los teléfonos de todo el mundo.

A principios de agosto, por ejemplo, la Comisión Federal de Comercio de EE. UU. Advirtió a los estadounidenses que los estafadores habían lanzado campañas masivas con informes de seguro de desempleo y solicitudes a los ciudadanos para corregir o verificar su información. El gobierno de EE. UU. No enviará mensajes de texto solicitando información personal, dijo Seena Gressin, abogada de la división de Educación para el Consumidor y las Empresas de la FTC, en una publicación de blog el 4 de agosto.

«Los ladrones de identidad se dirigen a millones de personas en todo el país con textos fraudulentos de phishing diseñados para robar información personal, beneficios de desempleo o ambos», escribió.

Una maraña de funciones maliciosas
En el caso de TangleBot, una vez que el malware compromete una computadora, el atacante puede monitorear muchas actividades del usuario, como sitios web visitados y contraseñas ingresadas, así como grabar audio desde el micrófono y video de la cámara. TangleBot también utiliza muchas capas de ofuscación para dificultar el análisis, p. Ej.

«Las capacidades también permiten que se robe información personal significativa directamente del dispositivo y mediante la cámara y el micrófono para espiar a la víctima», dijo el análisis de Cloudmark. «Recopilar información personal y credenciales de esta manera es extremadamente tedioso para los usuarios móviles debido al creciente mercado de información personal y de cuentas detallada en la web oscura».

TangleBot no aprovecha las fallas en el sistema Android, pero hace que los usuarios hagan clic en varios cuadros de diálogo. Dependiendo de la configuración del dispositivo Android, será necesario hacer clic en hasta nueve cuadros de diálogo y advertencias de seguridad diferentes para completar la instalación del software. Si bien tal cadena de notificaciones parecería suficiente a primera vista, la experiencia muestra que los usuarios se han acostumbrado a hacer clic en las advertencias.

“Basado en lo que hemos visto recientemente en ataques de malware móviles similares, como dice Tobin.

No todos los ataques a aplicaciones de mensajería toman tantos pasos. Otros atacantes han encontrado formas de aprovechar las vulnerabilidades en las aplicaciones de mensajería de los teléfonos Apple y Android para realizar ataques de cero o un clic que implican simplemente recibir un mensaje malicioso o hacer clic en un enlace en un mensaje es suficiente para comprometer el dispositivo.

Cloudmark anima a los usuarios a escudriñar cualquier mensaje de texto, especialmente aquellos de un número desconocido o que afirman ser una empresa conocida. Además, los usuarios no deben hacer clic en el enlace del mensaje, sino ir directamente al sitio web de la supuesta empresa.

Hasta ahora, el ataque TangleBot no ha resultado en otro malware como ransomware o fraude de cuentas, pero Proofpoint espera funcionalidad adicional de los atacantes. Si bien el aumento del spam por SMS y el phishing puede parecer significativo en Estados Unidos, el Reino Unido y la Unión Europea tienen un problema aún peor, según Tobin. Un suscriptor del Reino Unido tiene 15 veces más probabilidades de recibir un mensaje sonriente que un suscriptor de EE. UU., Dice.

«Si bien estamos creciendo en todas las regiones del mundo, la buena noticia es que los operadores estadounidenses han asegurado sus redes mucho más rápido con tecnología para contrarrestar estos ataques», dice.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El nuevo servicio de retransmisión privada iCloud de Apple está perdiendo las direcciones IP reales de los usuarios

¿QUÉ ES XDR (DETECCIÓN Y RESPUESTA AVANZADAS)?