Se ha descubierto una importante campaña de phishing que puede haber hecho ganar a sus operadores millones de dólares a través de las comisiones de publicidad de los afiliados.
Descubierta por la firma de seguridad cibernética centrada en IA PIXM en septiembre de 2023, antes de su punto máximo en abril y mayo de 2022, la campaña aprovechó el servicio Messenger de Facebook, los servicios legítimos de acortador de URL y las páginas web con anuncios y encuestas.
La premisa es simple: los delincuentes crearon numerosos sitios de phishing en los que las víctimas serían atraídas para que regalaran sus credenciales de Facebook. Después de eso, pasarían dos cosas. Uno: serían redirigidos a un sitio web con anuncios, encuestas y otros medios de generación de ingresos para los operadores, y dos: las cuentas de Facebook de las víctimas. (se abre en una pestaña nueva) se utilizaría para difundir aún más la campaña, a través de Messenger.
Eludiendo las protecciones de Facebook
Messenger suele ser relativamente bueno para detectar y eliminar enlaces de phishing, pero los delincuentes lograron eludir (se abre en una pestaña nueva) el mecanismo de defensa con servicios legítimos de acortamiento de URL como litch.me, celebrity.co, amaze.co y funnel-preview.com, encontraron los investigadores.
Toda la campaña, al parecer, fue automatizada, con muy poca interferencia de los autores intelectuales de la campaña.
“La cuenta de un usuario se vería comprometida y, probablemente de forma automatizada, el actor de amenazas iniciaría sesión en esa cuenta y enviaría el enlace a los amigos del usuario a través de Facebook Messenger”, dijo PIXM.
Profundizando más, PIXM encontró una de las páginas de phishing que aloja un enlace a una aplicación pública y abierta de monitoreo de tráfico. A través de la aplicación, descubrieron que en 2023, 2,7 millones de usuarios visitaron uno de los sitios de phishing, aumentando a 8,5 millones este año.
Se utilizaron un total de 405 nombres de usuario únicos como identificadores de campaña, que probablemente no sea el número total de cuentas utilizadas para la campaña.
PIXM también encontró un fragmento de código común en todas las páginas de phishing, que hacía referencia a un sitio web incautado y cerrado por las fuerzas del orden. Supuestamente, pertenece a un colombiano, un tal Rafael Dorado, contra quien actualmente se lleva a cabo una investigación.
Los detalles sobre las ganancias son escasos, pero los investigadores dicen que son “millones”.
Vía: BleepingComputer (se abre en una pestaña nueva)