Se ha descubierto una importante campaña de phishing que puede haber hecho ganar a sus operadores millones de dólares a través de las comisiones de publicidad de los afiliados.

Descubierta por la firma de seguridad cibernética centrada en IA PIXM en septiembre de 2021, antes de su punto máximo en abril y mayo de 2022, la campaña aprovechó el servicio Messenger de Facebook, la URL legítima y los servicios de acortamiento de páginas web con anuncios y encuestas.

El principio es simple: los estafadores han creado muchos sitios de phishing en los que se engaña a las víctimas para que proporcionen sus credenciales de Facebook. Después de eso, sucedieron dos cosas. Uno: serían redirigidos a un sitio web con anuncios, encuestas y otras formas de generar ingresos para los operadores, y dos: las cuentas de Facebook de las víctimas (se abre en una nueva pestaña) se usarían para difundir aún más la campaña, a través de Messenger.

Omitir las protecciones de Facebook

Messenger generalmente es relativamente bueno para detectar y eliminar enlaces de phishing, pero los estafadores han logrado eludir (se abre en una nueva pestaña) el mecanismo de defensa con servicios legítimos de acortamiento de URL como litch.me, Famous.co, amaze.co y funnel-preview . .com, encontraron los investigadores.

Toda la campaña, al parecer, ha sido automatizada, con muy poca interferencia de los autores intelectuales de la campaña.

“La cuenta de un usuario se vería comprometida y, probablemente de forma automatizada, el actor de amenazas iniciaría sesión en esa cuenta y enviaría el enlace a los amigos del usuario a través de Facebook Messenger”, dijo PIXM.

Profundizando más, PIXM encontró una de las páginas de phishing que albergaba un enlace a una aplicación pública y abierta de monitoreo de tráfico. A través de la aplicación, descubrieron que en 2021, 2,7 millones de usuarios visitaron uno de los sitios de phishing, aumentando a 8,5 millones este año.

Se utilizaron un total de 405 nombres de usuario únicos como ID de campaña, que probablemente no sea el número total de cuentas utilizadas para la campaña.

PIXM también encontró un fragmento de código común en todas las páginas de phishing, que se refería a un sitio web incautado y cerrado por la policía. Al parecer pertenece a un colombiano, un tal Rafael Dorado, contra quien actualmente se abre una investigación.

Los detalles sobre las ganancias son escasos, pero los investigadores dicen que son «millones».

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to