Se ha observado una campaña de phishing generalizada aprovechando los documentos PDF falsos alojados en la red de entrega de contenido de flujo web (CDN) con el objetivo de robar información de la plástico de crédito y cometer fraude financiero.
“El atacante apunta a las víctimas que buscan documentos en los motores de búsqueda, lo que resulta en el ataque a PDF pillo que contiene una imagen de Captcha integrada con un enlace de phishing, lo que los lleva a proporcionar información confidencial”, dijo el investigador de Laboradores de Amenazas de Netskope, Jan Michael Alcantara.
La actividad, en curso desde la segunda porción de 2024, implica a los usuarios que buscan títulos de libros, documentos y gráficos en motores de búsqueda como Google para redirigir a los usuarios a los archivos PDF alojados en Webflow CDN.
Estos archivos PDF vienen integrados con una imagen que imita un desafío Captcha, haciendo que los usuarios que hacen clic en ella se llevan a una página de phishing que, esta vez, aloja una verdadera captcha de tendencia de Cloudflare.
Al hacerlo, los atacantes apuntan a prestar el proceso una apariencia de legalidad, engañando a las víctimas para que piensen que habían interactuado con un control de seguridad, al tiempo que evade la detección de escáneres estáticos.
Los usuarios que completan el Genuine Captcha Challenge se redirigen luego a una página que incluye un tallo “Descargar” para ceder al supuesto documento. Sin secuestro, cuando las víctimas intentan completar el paso, reciben un mensaje emergente pidiéndoles que ingresen sus datos personales y de plástico de crédito.
“Al ingresar los detalles de la plástico de crédito, el atacante enviará un mensaje de error para indicar que no fue aceptado”, dijo Michael Alcantara. “Si la víctima envía los detalles de su plástico de crédito dos o tres veces más, serán redirigidos a una página de error HTTP 500”.
El ampliación se produce cuando SlashNext detalló un nuevo kit de phishing llamado Astaroth (que no debe confundirse con un malware bancario del mismo nombre) que se anuncia en los mercados de telegrama y del delito cibernético por $ 2,000 a cambio de seis meses de actualizaciones y técnicas de omisión.
Al igual que las ofertas de Phishing-As-A-Service (PHAAS), permite a los ciber a los ciberdechos la capacidad de cosechar credenciales y códigos de autenticación de dos factores (2FA) a través de páginas de inicio de sesión falsas que imitan los servicios en lista populares.
“Astaroth utiliza un proxy inverso al estilo EvilGinx para interceptar y manipular el tráfico entre las víctimas y los servicios de autenticación legítimos como Gmail, Yahoo y Microsoft”, dijo el investigador de seguridad Daniel Kelley. “Actuando como un hombre en el medio, captura credenciales de inicio de sesión, fichas y cookies de sesión en tiempo actual, sin suceder por detención 2FA”.
