builderall


Investigadores de ciberseguridad han advertido de un repunte en las páginas de phishing creadas utilizando una herramienta de construcción de sitios web llamada Webflow, ya que los actores de amenazas continúan abusando de servicios legítimos como Cloudflare y Microsoft Sway para su beneficio.


«Las campañas apuntan a información sensible de diferentes billeteras de criptomonedas, incluidas Coinbase, MetaMask, Phantom, Trezor y Bitbuy, así como credenciales de inicio de sesión para múltiples plataformas de correo web de la empresa, así como credenciales de inicio de sesión de Microsoft 365», dijo el investigador de Netskope Threat Labs Jan Michael Alcantara en un análisis.


La compañía de ciberseguridad dijo que rastreó un aumento de 10 veces en el tráfico a páginas de phishing creadas usando Webflow entre abril y septiembre de 2024, con los ataques dirigidos a más de 120 organizaciones en todo el mundo. La mayoría de ellas se encuentran en Norteamérica y Asia y abarcan los sectores de servicios financieros, banca y tecnología.


Se ha observado que los atacantes utilizan Webflow para crear páginas de phishing independientes, así como para redirigir a usuarios desprevenidos a otras páginas de phishing bajo su control.


«Lo primero proporciona a los atacantes sigilo y facilidad porque no hay líneas de código de phishing que escribir y detectar, mientras que lo segundo da flexibilidad al atacante para realizar acciones más complejas según sus necesidades», afirma Michael Alcantara.


Lo que hace que Webflow sea mucho más atractivo que Cloudflare R2 o Microsoft Sway es que permite a los usuarios crear subdominios personalizados sin coste adicional, a diferencia de los subdominios alfanuméricos aleatorios autogenerados que son propensos a levantar sospechas...



En un intento de aumentar las probabilidades de éxito del ataque, las páginas de phishing están diseñadas para imitar las páginas de inicio de sesión de sus homólogos legítimos con el fin de engañar a los usuarios para que proporcionen sus credenciales, que luego se filtran a un servidor diferente en algunos casos.


Netskope dijo que también identificó sitios web de estafa de criptomonedas Webflow que utilizan una captura de pantalla de la página de inicio de una billetera legítima como sus propias páginas de destino y redirigen al visitante al sitio real de estafa al hacer clic en cualquier lugar del sitio falso.



El objetivo final de la campaña de cripto-phishing es robar las frases semilla de la víctima, lo que permite a los atacantes hacerse con el control de las carteras de criptodivisas y drenar los fondos.


En los ataques identificados por la empresa de ciberseguridad, a los usuarios que acaban proporcionando la frase de recuperación se les muestra un mensaje de error que indica que su cuenta ha sido suspendida debido a «actividad no autorizada y fallo de identificación.» El mensaje también pide al usuario que se ponga en contacto con su equipo de soporte iniciando un chat en línea en tawk.to.


Vale la pena señalar que los servicios de chat como LiveChat, Tawk.to y Smartsupp han sido utilizados indebidamente como parte de una campaña de estafa de criptomoneda apodada CryptoCore por Avast.


«Los usuarios siempre deberían acceder a páginas importantes, como su portal bancario o su correo web, escribiendo la URL directamente en el navegador web en lugar de utilizar motores de búsqueda o hacer clic en otros enlaces», dijo Michael Alcantara.


La noticia llega en un momento en que los ciberdelincuentes anuncian en la red oscura novedosos servicios antirrobo que afirman saltarse las advertencias de navegación segura de Google en el navegador Chrome.


«Los servicios anti-bot, como Otus Anti-Bot, Remove Red y Limitless Anti-Bot, se han convertido en la piedra angular de las operaciones complejas de phishing», afirma SlashNext en un informe reciente. «Estos servicios pretenden evitar que los rastreadores de seguridad identifiquen las páginas de phishing y las incluyan en sus listas de bloqueo».


«Al filtrar los bots de ciberseguridad y disfrazar las páginas de phishing de los escáneres, estas herramientas prolongan la vida útil de los sitios maliciosos, ayudando a los delincuentes a evadir la detección durante más tiempo.»


También se han descubierto campañas de malware y publicidad engañosa que propagan un malware en evolución activa llamado WARMCOOKIE (también conocido como BadSpace), que actúa como conducto para malware como CSharp-Streamer-RAT y Cobalt Strike.


«WarmCookie ofrece una variedad de funciones útiles para los adversarios, como el despliegue de cargas útiles, la manipulación de archivos, la ejecución de comandos, la recopilación de capturas de pantalla y la persistencia, lo que lo hace atractivo para su uso en sistemas una vez que se ha obtenido el acceso inicial para facilitar el acceso persistente a largo plazo en entornos de red comprometidos», dijo Cisco Talos.


Un análisis del código fuente sugiere que es probable que el malware haya sido desarrollado por los mismos actores de la amenaza que Resident, un implante posterior al ataque desplegado como parte de un conjunto de intrusiones denominado TA866 (también conocido como Asylum Ambuscade), junto con el ladrón de información Rhadamanthys. Estas campañas se han centrado en el sector manufacturero, seguido de cerca por la administración pública y los servicios financieros.


«Aunque la selección de objetivos a largo plazo asociada a las campañas de distribución parece indiscriminada, la mayoría de los casos en los que se han observado cargas útiles de seguimiento se produjeron en Estados Unidos, con casos adicionales repartidos por Canadá, Reino Unido, Alemania, Italia, Austria y Países Bajos», afirma Talos.


Fuente: thehackernews