Una campaña de phishing, que se vale de entidades bancarias de Canadá, está dirigida tanto a individuos como a empresas, a través de una infraestructura a gran escala, compartida con ataques anteriores que se remontan a 2017 y que apuntan a los mismos atacantes.
La infraestructura detrás de estos ataques enfocados en Canadá, incluye a cientos de sitios web de phishing diseñados para imitar los sitios web de los principales bancos canadienses como parte de un esfuerzo para robar las credenciales de usuario de los clientes de las instituciones financieras.
Para conseguir los objetivos en sus páginas de destino de phishing, los atacantes utilizan mensajes de correo electrónico personalizados y de aspecto legítimo con archivos adjuntos PDF maliciosos.
Los archivos adjuntos también están diseñados para que parezcan comunicaciones oficiales de los bancos de las víctimas potenciales, incluyendo logotipos de bancos y una gramática casi perfecta.
Además, los atacantes aprovechan el lenguaje que induce a la urgencia, una táctica muy común en los ataques de phishing, advirtiendo a las víctimas de que sus cuentas se bloquearán si no se toman medidas en los próximos dos días.
En los correos electrónicos de phishing, los actores del mal piden a sus víctimas que se conecten a sus cuentas bancarias con la mayor urgencia posible para actualizar la información relacionada con varias cuentas.
Después de hacer clic en los enlaces incluidos en los archivos adjuntos en PDF, los objetivos serán enviados a una página de aterrizaje de phishing que clona la página de inicio de sesión real del banco donde se les “pide que introduzcan su contraseña de identificación de inicio de sesión en el token de autenticación de dos factores proporcionado por el banco”.
Los atacantes utilizaron una técnica rápida para clonar las páginas de inicio de sesión de los bancos, añadiendo una captura de pantalla de su sitio web en las páginas de aterrizaje utilizadas para recoger las credenciales de sus víctimas, con cuadros de texto en la parte superior de los campos de inicio de sesión donde se debe introducir la información.
Sin embargo, como descubrieron los investigadores de Check Point que descubrieron esta campaña de phishing en curso, “mientras la víctima espera a que se procese la solicitud, los atacantes roban esas credenciales y transfieren dinero entre bastidores”.
Además, mientras analizaban la campaña actual, los investigadores pudieron detectar conexiones con ataques previos reportados en 2017 por el equipo de investigación de IBM X-Force, ataques que también se dirigían a los clientes de los bancos canadienses.
Al igual que en el caso de la campaña actual, los investigadores de IBM X-Force dijeron en su momento que los ataques estaban “diseñados para engañar a quienes tienen acceso a la cuenta para que divulguen las credenciales bancarias en línea de su empresa, las contraseñas de un solo uso y los códigos de autenticación de dos factores”.
También encontraron que “el objetivo de este ataque de phishing dirigido es tomar la cuenta y transferir dinero a cuentas de mula que los criminales controlan”.
En total, el equipo de investigación de Check Point pudo descubrir más de 300 dominios que se parecen mucho a los sitios web de los bancos y que solían alojar sitios web de phishing para los siguientes bancos canadienses:
– El Royal Bank of Canada
– Scotiabank
– BMO Banco de Montreal
– Interac
– Mandarina
– Banco Desjardins
– CIBC Canadian Imperial Bank of Commerce
– TD Canada Trust
– Simplii Financial
– ATB Financial
– American Express
– Comunicaciones Rogers
– Ahorro de capital en la costa
– Wells Fargo
En el informe de la compañía, puede encontrarse información más detallada sobre cómo los atacantes alojaron varios dominios en los servidores que controlaban, así como más ejemplos de páginas de destino de phishing utilizadas en estos ataques.
Con información de: Bleeping Computer.