Los investigadores de ciberseguridad están llamando la atención sobre las campañas de phishing que se hacen acaecer por marcas populares y objetivos de engañados a nombrar a los números de teléfono operados por actores de amenazas.
“Una parte significativa de las amenazas de correo electrónico con las cargas enseres de PDF persuade a las víctimas de nombrar a los números de teléfono controlados por el adversario, mostrando otra técnica popular de ingeniería social conocida como entrega de ataque orientado al teléfono (TOAD), asimismo conocido como phishing de devolución de indicación”, dijo el investigador de Cisco Talos, Omid Mirzaei, en un noticia compartido con las telediario de hacker.
Un observación de los correos electrónicos de phishing con archivos adjuntos PDF entre el 5 de mayo y el 5 de junio de 2025, ha revelado que Microsoft y Docusign son las marcas más personificadas. NortonlifeLock, PayPal y Geek Squad se encuentran entre las marcas más personificadas en correos electrónicos de sapos con archivos adjuntos PDF.
La actividad es parte de ataques de phishing más amplios que intentan explotar la confianza que las personas tienen con las marcas populares para iniciar acciones maliciosas. Estos mensajes generalmente incorporan archivos adjuntos PDF con marcas legítimas como Adobe y Microsoft para escanear códigos QR maliciosos que apunten a páginas de inicio de sesión de Microsoft falsas o haga clic en enlaces que redirigen a los usuarios a las páginas de phishing que posan como servicios como Dropbox.
Además se ha contrario que los correos electrónicos de phishing de código QR con cargas enseres PDF aprovechan las anotaciones de PDF para fijar las URL adentro de una nota, comentarios o campos de formulario adentro de un archivo adjunto PDF, al tiempo que vincula los códigos QR a una página web auténtica para dar la impresión de que los mensajes son confiables.
En los ataques basados en Toad, las víctimas se convierten en nombrar a un número de teléfono en un supuesto intento de resolver un problema o confirmar una transacción. Durante la indicación telefónica, el atacante se disfraza de un representante auténtico del cliente y engaña a la víctima para revelar información confidencial o instalar malware en sus dispositivos.
La mayoría de las campañas de sapos se basan en la ilusión de la aprieto, pero su efectividad a menudo depende de cómo los atacantes convincentemente imitan los flujos de trabajo de soporte reales, utilizando tácticas de centro de llamadas con guiones, sostener música e incluso identificaciones de llamadas falsificadas.
Esta técnica ha sido un método popular entre los actores de amenaza para instalar troyanos bancarios en dispositivos Android y programas de paso remoto en máquinas de víctimas para obtener paso persistente. En mayo de 2025, la Oficina Federal de Investigación de los Estados Unidos (FBI) advirtió sobre tales ataques perpetrados por un reunión motivado financieramente llamado Retrato Moth para violar las redes de objetivos al posar como el personal del área.
“Los atacantes usan la comunicación de voz directa para explotar la confianza de la víctima en las llamadas telefónicas y la percepción de que la comunicación telefónica es una forma segura de interactuar con una estructura”, dijo Mirzaei. “Por otra parte, la interacción en vivo durante una indicación telefónica permite a los atacantes manipular las emociones y respuestas de la víctima empleando tácticas de ingeniería social”.
Cisco Talos dijo que la mayoría de los actores de amenaza usan los números de Voice sobre el Protocolo de Internet (VOIP) para permanecer en el anonimato y dificultar la rastrear, con algunos números reutilizados consecutivamente durante cuatro días, lo que permite a los atacantes conquistar ataques de ingeniería social en varias etapas utilizando el mismo número.

“La suplantación de marca es una de las técnicas de ingeniería social más popular, y los atacantes lo utilizan continuamente en diferentes tipos de amenazas de correo electrónico”, dijo la compañía. “Por lo tanto, un motor de detección de suplantación de marca desempeña un papel fundamental en la defensa contra los ataques cibernéticos”.
En los últimos meses, las campañas de phishing asimismo han capitalizado en una característica legítima en Microsoft 365 (M365) llamado Send directo a los usuarios internos falsificados y entregar correos electrónicos de phishing sin la menester de comprometer una cuenta. El método novedoso se ha empleado para apuntar a más de 70 organizaciones desde mayo de 2025, según Varonis.
Estos mensajes falsificados no solo parecen originarse en el interior de la estructura de víctimas, sino que asimismo aprovechan el hecho de que las direcciones de anfitriones inteligentes siguen un patrón predecible (“
Esta táctica comparte similitudes con Vishing, estafas de soporte técnico y compromiso de correo electrónico comercial (BEC), pero difiere en el vector de entrega y la persistencia. Mientras que algunos atacantes empujan a las víctimas a descargar software de paso remoto como Anydesk o TeamViewer, otros las enrutan a través de portales de cuota falsos o se hacen acaecer por los departamentos de facturación para cosechar información de la plástico de crédito, ampliando la superficie de ataque más allá del robo de credenciales.
En un correo electrónico de phishing enviado el 17 de junio de 2025, el cuerpo de mensajes se parecía a una notificación de correo de voz e incluía un archivo adjunto PDF que contenía un código QR que dirigía a los destinatarios a una página de cosecha de credenciales de Microsoft 365.
“En muchos de sus intentos de paso auténtico, el actor de amenaza utilizó la funcionalidad de expedición directo M365 para dirigirse a una estructura individual con mensajes de phishing que estaban sujetos a menos pesquisa en comparación con el correo electrónico entrante estereotipado”, dijo el investigador de seguridad Tom Barnea. “Esta simplicidad hace que directamente envíe un vector atractivo y de bajo esfuerzo para las campañas de phishing”.

La divulgación se produce cuando una nueva investigación de Netcraft descubrió que pedir modelos de idiomas grandes (LLM) dónde iniciar sesión en 50 marcas diferentes en varios sectores, como finanzas, minoristas, tecnología y servicios públicos, sugirieron nombres de host no relacionados como respuestas que no eran propiedad de las marcas en primer división.
“Dos tercios de la época, el maniquí devolvió la URL correcta”, dijo la compañía. “Pero en el tercio restante, los resultados se rompieron así: casi el 30% de los dominios no estaban registrados, estacionados o inactivos, dejándolos abiertos a la adquisición. Otro 5% señaló a los usuarios a empresas completamente no relacionadas”.
Esto asimismo significa que los usuarios probablemente podrían ser enviados a un sitio web imitado simplemente pidiendo un chatbot de inteligencia fabricado (IA) dónde iniciar sesión, abriendo la puerta a la suplantación de marca y los ataques de phishing cuando los actores de amenazas reclaman el control de estos dominios no registrados o no relacionados.
Con los actores de amenaza que ya usan herramientas con IA para crear páginas de phishing a escalera, el postrer explicación marca un nuevo locución en el que los cibercriminales buscan el repertorio de una respuesta de LLM al surfaciendo de las URL maliciosas como respuestas a las consultas.
Netcraft dijo que asimismo ha observado intentos de envenenar asistentes de codificación de IA como cursor al editar API falsas a Github que albergan la funcionalidad para enrutar las transacciones en la esclavitud de bloques de Solana a una billetera controlada por el atacante.
“El atacante no solo publicó el código”, dijo el investigador de seguridad Bilaal Rashid. “Lanzaron tutoriales del blog, preguntas y respuestas del foro y docenas de reposos de Github para promoverlo. Múltiples cuentas falsas de GitHub compartieron un esquema llamado Moonshot-Volume-Bot, sembrado en cuentas con BIOs ricos, imágenes de perfil, cuentas de redes sociales y actividad de codificación factible. Estas no fueron cuentas desechables, se elaboraron para ser indexados por las tuberías de capacitación de IA”.
Los desarrollos asimismo siguen esfuerzos concertados por parte de los actores de amenaza para inyectar sitios web de renombre (por ejemplo, dominios .gov o .edu) con JavaScript o HTML diseñado para influir en los motores de búsqueda en priorizar los sitios de phishing en los resultados de búsqueda. Esto se logra por un mercado ilícito llamado Hacklink.
El servicio “permite a los cibercriminales comprar paso a miles de sitios web comprometidos e inyectar código zorro diseñado para manipular algoritmos de motor de búsqueda”, dijo el investigador de seguridad Andrew Sebborn. “Los estafadores usan paneles de control Hacklink para insertar enlaces a sitios web de phishing o ilícitos en el código fuente de dominios legítimos pero comprometidos”.
Estos enlaces de salida están asociados con palabras secreto específicas para que los sitios web pirateados se sirvan en los resultados de búsqueda cuando los usuarios buscan términos relevantes. Para empeorar las cosas, los actores pueden alterar el texto que aparece en el resultado de la búsqueda para que coincidan con sus deposición sin tener que tomar el control del sitio en cuestión, afectando la integridad de la marca y la confianza del usufructuario.