Los actores de amenazas detrás de los ataques de phishing de BazaCall han mejorado sus tácticas al emplear Google Forms para darle al esquema una apariencia de credibilidad, según reveló un informe de la firma de ciberseguridad Abnormal Security publicado recientemente.
El modus operandi consiste en un intento de aumentar la autenticidad percibida de los correos electrónicos maliciosos iniciales, como detalla el mencionado informe. El esquema de BazaCall (también conocido como BazarCall), que surgió a fines de 2020, se caracteriza por enviar mensajes de correo electrónico que simulan notificaciones auténticas de suscripciones a destinatarios seleccionados. Estos correos instan a los objetivos a ponerse en contacto con un servicio de asistencia para cancelar la suscripción, bajo la amenaza de enfrentar cargos que oscilan entre $50 y $500.
Mediante la creación de una sensación ficticia de urgencia, los atacantes persuaden a los objetivos, a través de llamadas telefónicas, para concederles acceso remoto a través de un software de escritorio remoto, logrando así establecer una persistencia en el host bajo la pretensión de ofrecer ayuda para cancelar la supuesta suscripción. Entre los servicios populares suplantados se encuentran Netflix, Hulu, Disney+, Masterclass, McAfee, Norton o GeekSquad.
En la variante más reciente detectada por Abnormal Security, los atacantes emplean un formulario creado con Google Forms para recopilar información relacionada con la presunta suscripción.
«Como el atacante habilitó la opción de recibo de respuesta, el objetivo recibirá una copia del formulario completado, que el atacante ha diseñado para parecerse a una confirmación de pago del software Norton Antivirus«.
Mike Britton, investigador de seguridad
La elección estratégica de Google Forms también muestra astucia, ya que las respuestas se envían desde la dirección «forms-receipts-noreply@google[.]com», un dominio de confianza que aumenta la probabilidad de eludir las defensas de correo electrónico seguras. Esto se evidenció en una reciente campaña de phishing con Google Forms descubierta por Cisco Talos el mes pasado.
Britton explicó que los formularios de Google a menudo utilizan URL generadas dinámicamente, lo cual dificulta su detección mediante medidas de seguridad tradicionales basadas en análisis estáticos y detección basada en firmas, que dependen de patrones conocidos para identificar amenazas.
Más información:
- https://abnormalsecurity.com/blog/bazarcall-attack-leverages-google-forms
- https://www.trellix.com/about/newsroom/stories/research/evolution-of-bazarcall-social-engineering-tactics/
- https://blog.talosintelligence.com/google-forms-quiz-spam/
Deja una respuesta