La Oficina Federal de Investigación de los Estados Unidos (FBI) advirtió sobre los ataques de ingeniería social montados por un actor de perturbación criminal conocido como Vidriera Moth dirigida a firmas de abogados en los últimos dos primaveras.
La campaña aprovecha “Llamadas de ingeniería social con temas de tecnología de información (TI) y correos electrónicos de phishing de devolución de señal, para obtener camino remoto a sistemas o dispositivos y robar datos confidenciales para molestar a las víctimas”, dijo el FBI en un aviso.
Vidriera Moth, asimismo señal Chatty Spider, Silent Ransom Group (SRG), Storm-0252 y UNC3753, se sabe que está activo ya que al menos 2022, principalmente empleando una táctica señal phishing o entrega de ataque telefónicas y de ataque telefónicas y la entrega de ataque con la súplica) a los usuarios que impiden que llamen a los números de teléfonos que figuran en los correos electrónicos de los benignos, relacionados con los pagos de ataques con la súbdura.
Vale la pena mencionar aquí que Vidriera Moth se refiere al mismo equipo de piratería que anteriormente llevó a lugar campañas de Bazarcall (asimismo conocida como Bazacall) para implementar ransomware como Conti. Los actores de amenaza llegaron a su cuenta posteriormente del obstrucción del sindicato Conti.
Específicamente, los destinatarios del correo electrónico reciben instrucciones de golpear a un número de atención al cliente para suspender su suscripción premium en el interior de las 24 horas para evitar incurrir en un suscripción. En el transcurso de la conversación telefónica, la víctima recibe un correo electrónico con un enlace y norte para instalar un software de camino remoto, dando a los actores de amenaza el camino no calificado a sus sistemas.
Armados con el camino, los atacantes proceden a exfiltran información confidencial y envían una nota de perturbación a la víctima, exigiendo el suscripción para evitar anunciar sus datos robados en un sitio filtrado o entregar a otros ciberdelincuentes.
El FBI dijo que los actores de Vidriera Moth han cambiado sus tácticas a partir de marzo de 2025 llamando a las personas de interés y haciéndose acontecer por empleados del unidad de TI de su empresa.
“SRG luego dirigirá al empleado que se una a una sesión de camino remoto, ya sea a través de un correo electrónico enviado o navegar a una página web”, señaló la agencia. “Una vez que el empleado otorga camino a su dispositivo, se les dice que el trabajo debe hacerse durante la oscuridad”.
Se ha enfrentado que los actores de amenaza, posteriormente de obtener camino al dispositivo de la víctima, intensifican privilegios y aprovechan herramientas legítimas como RCLONE o WINSCP para allanar la exfiltración de datos.
El uso de herramientas genuinas de papeleo del sistema o camino remoto como Zoho Assist, Syncro, Anydesk, Splashtop o Atera para arrostrar a lugar los ataques significa que es poco probable que las herramientas de seguridad instalen en los sistemas.
“Si el dispositivo comprometido no tiene privilegios administrativos, WINSCP Portable se utiliza para exfiltrar los datos de las víctimas”, agregó el FBI. “Aunque esta táctica solo se ha observado recientemente, ha sido en gran medida efectiva y ha resultado en múltiples compromisos”.
Se insta a los defensores a estar atentos a las conexiones WINSCP o RCLONE hechas en direcciones IP externos, correos electrónicos o correos de voz de un corro no identificado que los datos fueron robados, los correos electrónicos con respecto a los servicios de suscripción que proporcionan un número de teléfono y requieren una señal para eliminar los cargos de renovación pendientes, y las llamadas telefónicas no solicitadas de las personas que reclaman a sus departamentos de TI en sus departamentos de TI.
La divulgación sigue a un noticia de Eclecticiq que detalla las campañas de phishing “High-Tempo” de Vidriera Moth dirigidas a sectores procesal y financiero de los Estados Unidos utilizando Reamaze Helpdesk y otro software de escritorio remoto.
Según la compañía de seguridad cibernética holandesa, al menos 37 dominios fueron registrados por el actor de amenaza a través de Godaddy en marzo, la mayoría de los cuales falsificó los portales de amparo de TI de las organizaciones específicas.
“Vidriera Moth está utilizando principalmente dominios con temática de ayuda, generalmente comenzando con el nombre de la empresa, por ejemplo, Vorys-HelpDesk (.) Com”, dijo Silent Push en una serie de publicaciones sobre X. “Los actores están utilizando un rango relativamente pequeño de registros. Los actores parecen usar un rango establecido de los proveedores de nombres, con DominControl (.) Compores de los registros relativamente pequeños.