Estafa de soporte técnico: Hackers engañan a usuarios para instalar ransomware y extorsionar a las víctimas

Un equipo de seguridad de Microsoft ha dado seguimiento estricto a un grupo cibercriminal identificado como BazarCall, dedicado al despliegue de estafas de soporte técnico empleando call centers para la distribución de una peligrosa variante de malware. Este grupo ha estado activo desde inicios de 2021 y ya ha infectado a miles de dispositivos Windows.

Al respecto, el investigador de Palo Alto Networks Brad Duncan mencionó que esta variante de malware permite a los actores de amenazas instalar un backdoor en los dispositivos Windows comprometidos: “Después de que un usuario se infecta, los cibercriminales emplean el acceso de backdoor para entregar el malware, escanear el entorno y explotar otros hosts vulnerables en la red.”

Los ataques comienzan enviando emails de phishing a usuarios aleatorios; estos mensajes engañaban a la víctima mencionando que una supuesta suscripción de prueba para Office 365 expiró y se iniciará el cobro de una tarifa mensual a menos que el usuario cancele vía llamada telefónica. A través de Twitter, el equipo de seguridad de Microsoft reveló uno de los correos electrónicos recibidos por una de las víctimas potenciales.

Si los usuarios caen en la trampa y llaman al número telefónico incluido en el mensaje, la llamada será dirigida a un call center operado por los cibercriminales, quienes engañarán al usuario para abrir un sitio web fraudulento y descargar un archivo de Excel con una macro maliciosa para descargar la carga útil del malware. 

Los investigadores de Microsoft también detectaron que estos hackers emplean el kit malicioso Cobalt Strike para interceptar información confidencial, incluyendo bases de datos en Active Directory (AD). Como muchos usuarios recordarán, Cobalt Strike es empleado en ataques de movimiento lateral después de un compromiso inicial. Por otra parte, el robo de AD se ha convertido en una de las más grandes problemáticas para empresas de todo el mundo, ya que contiene las credenciales de una organización.

Microsoft creó un repositorio de GitHub para compartir algunos detalles sobre la campaña BazarCall, aunque la investigación sigue activa. La compañía prometió actualizar el repositorio con nueva información a medida que sea confirmada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).