Una campaña de phishing recién descubierta está atacando a usuarios de dispositivos móviles con tácticas avanzadas de ingeniería social y archivos PDF maliciosos diseñados para comprometer datos confidenciales.
La campaña, que se hace pasar por el Servicio Postal de los Estados Unidos (USPS), emplea una técnica de ofuscación nunca antes vista para distribuir su carga maliciosa.
Identificada por investigadores de Zimperium, la campaña utiliza mensajes SMS para difundir un archivo PDF malicioso que contiene un enlace sospechoso. Este enlace redirige a los usuarios a un sitio web falso diseñado para recopilar información confidencial. El archivo PDF en sí tiene una estructura compleja, que comprende un encabezado, un cuerpo, una tabla de referencias cruzadas y un tráiler. Cabe destacar que incorpora enlaces en los que se puede hacer clic sin utilizar la etiqueta /URI estándar, lo que dificulta el análisis.
El novedoso método de ofuscación de la campaña consiste en insertar un XObject en la URL escrita, lo que crea la apariencia de un botón en el que se puede hacer clic. Esta táctica es eficaz en ciertos visores de PDF, como Chrome y macOS Preview, pero puede no funcionar en otros. Cuando los usuarios hacen clic en el botón «Hacer clic en Actualizar», se les redirige a una página web de phishing que presenta un problema de entrega de USPS. La página web solicita a los usuarios que proporcionen datos personales, que luego se cifran y se transmiten a un servidor de comando y control (C2) malicioso.
Hallazgos clave
- Se descubrieron más de 20 archivos PDF maliciosos y 630 páginas de phishing, lo que indica una operación a gran escala
- La campaña utiliza una técnica compleja y nunca antes vista para ocultar elementos en los que se puede hacer clic
- La infraestructura maliciosa tiene el potencial de afectar a organizaciones en más de 50 países
“[Estas cifras] muestran cómo los actores de amenazas aprovechan la confianza de los usuarios en las comunicaciones de aspecto oficial en los dispositivos móviles”, dijo el director de tecnología de campo de SlashNext, Stephen Kowski.
“Si bien las organizaciones cuentan con una sólida seguridad de correo electrónico, la tensión crítica entre los equipos de Finanzas, RR.HH. y Tecnología en torno a los dispositivos móviles ha creado una brecha significativa y peligrosa en la protección, lo que lleva a una inversión insuficiente en seguridad de mensajería web y móvil a pesar de que estos se han convertido en vectores de ataque primarios”.
Esta campaña destaca la necesidad de contar con mecanismos de defensa contra amenazas móviles sólidos, en particular el escaneo en el dispositivo. Las empresas enfrentan riesgos significativos de violaciones de datos, robo de credenciales y flujos de trabajo comprometidos a través de archivos PDF aparentemente inofensivos.