Los investigadores de ciberseguridad han capaz sobre una nueva campaña de phishing de pica que utiliza una utensilio legítima de ataque remoto llamado NetBird para atacar a los directores financieros (CFO) y ejecutivos financieros en bancos, compañías energéticas, aseguradoras y firmas de inversión en Europa, África, Canadá, Medio Oriente y Asia del Sur.
“En lo que parece ser una operación de phishing de varias etapas, los atacantes pretendieron implementar NetBird, una utensilio de ataque remoto permitido basada en WireGuard en la computadora de la víctima”, dijo el investigador de Trellix Srini Seethapathy en un investigación.
La actividad, detectada por primera vez por la compañía de seguridad cibernética a mediados de mayo de 2025, no se ha atribuido a un actor o clase de amenazas conocido.
El punto de partida del ataque es un correo electrónico de phishing que se hace acontecer por un reclutador de Rothschild & Co. y afirma ofrecer una “oportunidad estratégica” con la compañía. El correo electrónico está diseñado para atraer a los destinatarios a aclarar un supuesto archivo adjunto PDF que, en ingenuidad, es un enlace de phishing que los redirige a una URL alojada en aplicaciones de Firebase.
Lo extraordinario de la infección es que la URL de redirección auténtico se almacena en la página en forma encriptada y es accesible solo luego de que la víctima resuelve una demostración de demostración Captcha, lo que finalmente conduce a la descarga de un archivo zip.
“Resolver el rompecabezas ejecuta una función (JavaScript) que la descifra con una esencia codificada y redirige al agraciado al enlace descifrado”, dijo Seethapathy. “Los atacantes se apoyan cada vez más en estas puertas de captcha personalizadas, con la esperanza de acontecer las defensas que ya marcan sitios de phishing protegidos por Cloudflare Turnstile o Google Recaptcha”.
Presente en el interior del archivo hay un script de Visual Basic (VBScript) responsable de recuperar un VBScript de la próxima etapa de un servidor forastero y iniciarlo a través de “wscript.exe”. Este descargador de VBScript de la segunda etapa luego obtiene otra carga útil del mismo servidor, la renombra a “trm.zip” y extrae dos archivos MSI: NetBird y OpenSSH.
La última escalón implica instalar los dos programas en el host infectado, crear una cuenta almacén oculta, permitir el ataque remoto de escritorio y persistir NetBird a través de tareas programadas de modo que se inicia automáticamente en el reinicio del sistema. El malware igualmente elimina los atajos de escritorio NetBird para avalar que la víctima no detecte el compromiso.
Trellix dijo que identificó otra URL de redirección que ha estado activa durante casi un año y sirve la misma carga útil de VBScript, lo que indica que la campaña puede deber existido durante algún tiempo.
Los resultados muestran una vez más cómo los adversarios dependen cada vez más de aplicaciones de ataque remoto legítimos como Connectwise Screenconnect, Atera, Splashtop, FleetDeck y LogMein resuelven establecer la persistencia y usarla para meter en la red de la víctima, mientras evaden simultáneamente la detección.
“Este ataque no es tu típica estafa de phishing”, dijo Seethapathy. “Está acertadamente fabricado, dirigido, sutil y diseñado para acontecer la tecnología y las personas.
La divulgación coincide con el descubrimiento de varias campañas de ingeniería social basadas en el correo electrónico en la naturaleza –
- Ataques que abusan de un dominio de confianza asociado con un conocido proveedor de servicios de Internet japonés (ISP) para despachar mensajes de phishing desde la dirección de correo electrónico “Company@Nifty (.) Com” en un intento de obtener verificaciones de autenticación de correo electrónico y credenciales de cosecha de cosecha
- Ataques que abusan de la plataforma de progreso de script de Google Apps para introducir páginas de phishing que parecen legítimas y roban credenciales de inicio de sesión de Microsoft mediante el empleo de señuelos por correo electrónico con temas de facturas
- Ataques que imitan una realización de Apple Pay para robar datos confidenciales del agraciado, incluidos los detalles de la polímero de crédito y los detalles de la cuenta de correo de Yahoo
- Ataques que abusan de la rudimentos de trabajo de trabajo para introducir páginas de phishing que engañan a los usuarios para que haga clic en enlaces que llevan a las víctimas a una página de inicio de sesión de Microsoft infiel bajo la apariencia de ver un documento compartido y exfiltran las credenciales a través de un bot de telegrama
- Ataques que explotan un defecto de seguridad de primaveras en Microsoft Office (CVE-2017-11882) para entregar la variación de malware de Formbook oculto en un archivo PNG infiel y robar datos confidenciales de hosts comprometidos
Phas Services Laine The Bar
Los hallazgos igualmente se producen cuando TrustWave detalló las conexiones operativas entre los kits de phishing de magnate y DADSEC (igualmente conocido como Phoenix), destacando sus superposiciones de infraestructura y el uso de una infraestructura de phishing centralizada. Dadsec es el trabajo de un actor de amenaza rastreado por Microsoft bajo el apodo de Storm-1575.
“La infraestructura utilizada por DADSEC igualmente está conectada a una nueva campaña que aprovecha la plataforma ‘Tycoon 2fa’ Phishing-as-a-Service (PHAAS)”, dijeron los investigadores de confianza Cris Tomboc y el rey Orande. “La investigación sobre el kit de phishing Tycoon2fa revela cómo los adversarios continúan refinando y expandiendo sus tácticas en el interior del ecosistema de phishing como servicio (PHAAS)”.
 |
| Tycoon 2FA PHAS Operación |
La creciente popularidad de los servicios de PHAAS se evidencia por el surgimiento de un nuevo kit en idioma chino “plug-and-play” denominado Haozi que se estima que ha facilitado más de $ 280,000 en transacciones criminales en los últimos cinco meses al traicionar publicidad a servicios de terceros. Opera una saco de suscripción por $ 2,000 por año.
“A diferencia de los kits de phishing heredados que requieren que los atacantes configuren scripts o infraestructura manualmente, Haozi ofrece un panel web elegante y orientado al sabido”, dijo Netcraft. “Una vez que un atacante transacción un servidor y coloca sus credenciales en el panel, el software de phishing se configura automáticamente, sin falta de ejecutar un solo comando”.
“Esta configuración sin fricción contrasta con otras herramientas de PHAA como la suite Darcula habilitada para AI, donde el uso insignificante de la bisectriz de comandos todavía es necesario”.
Adicionalmente de acoger un panel de despacho donde los usuarios pueden cuidar todas sus campañas en un solo punto, se ha descubierto que Haozi ofrece espacio publicitario, actuando como intermediario para conectar compradores de kit de phishing con servicios de terceros, como los relacionados con los proveedores de SMS.
 |
| Dashboard de Haozi Phishing |
Otro aspecto que distingue a Haozi de otros kits es un canal de telegrama posterior a la presentación dedicado (@yuanbaoaichiyu) para ayudar a los clientes a depurar problemas y optimizar sus campañas, posicionándolo como una opción atractiva para aspirantes a ciberdelincuentes que no tienen experiencia técnica.
“A medida que los equipos de seguridad empresarial se vuelven más efectivos para detectar y afrontar los intentos de intrusión, los atacantes están desplegando estafas de ingeniería social y estafas de phishing, tácticas que no requieren violar un perímetro endurecido”, dijo el investigador de Netcraft Harry Everett.
“Las ofertas de PHAA reducen las campañas de asfalto de habilidades y escalera a través de la automatización y el soporte comunitario. Estos nuevos modelos funcionan más como las empresas SaaS que los grupos de piratería de mercado enojado, completos con precios de suscripción, servicio al cliente y actualizaciones de productos”.
Microsoft, en un aviso publicado la semana pasada, reveló cómo las plataformas PHAAS están impulsando cada vez más el phishing de credencial adversario en el medio (AITM) a medida que aumenta la asimilación de la autenticación multifactor (MFA).
Algunas de las otras técnicas incluyen phishing del código de dispositivo; OAUTH Consentimiento Phishing; donde los actores de amenaza emplean el protocolo de autorización abierta (OAUTH) y envían correos electrónicos con un enlace de consentimiento astuto para una solicitud de terceros; El dispositivo une el phishing, donde los actores de amenaza usan un enlace de phishing para hacer objetivos de truco para autorizar el unión de dominio de un dispositivo controlado por el actor.
El fabricante de Windows dijo que ha observado presuntos actores de amenaza vinculados a rusos que emplean mensajes de solicitud de terceros o correos electrónicos que hacen narración a las próximas invitaciones de reuniones para entregar un enlace astuto que contiene un código de autorización válido. La técnica fue documentada por primera vez por Volexity en abril de 2025.
“Si acertadamente tanto los usuarios finales como las medidas de seguridad automatizadas se han vuelto más capaces para identificar los accesorios y enlaces de phishing astuto, los actores de amenaza motivados continúan dependiendo de explotar el comportamiento humano con señuelos convincentes”, dijo Igor Sakhnov, vicepresidente corporativo y ciso de identidad de Identidad en Microsoft.
“A medida que estos ataques dependen de los usuarios engañosos, la capacitación de los usuarios y la conciencia de las técnicas de ingeniería social comúnmente identificadas son esencia para defenderse de ellos”.
