Los ciberdelincuentes están aprovechándose de manera muy eficaz y oportuna de las plataformas de entretenimiento online para comprometer la seguridad de los usuarios a través del correo electrónico y otros documentos maliciosos. Si bien en 2020, durante el confinamiento por la pandemia, se dispararon las suscripciones a servicios de streaming superando los mil millones de usuarios en todo el mundo, este año está disminuyendo el consumo de estos contenidos o bien se tiende más a darse de alta gratis en uno de estos servicios y cancelarlo cuando finaliza el periodo de prueba. Esta tendencia en el comportamiento de los usuarios ha sido rápidamente explotada por los artífices de una nueva campaña con el downloader BazaLoader, detectada por primera vez a principios de mayo de 2021 por la empresa de ciberseguridad Proofpoint.
No obstante, en esta ocasión, «los ciberdelincuentes llevaron la ingeniería social al siguiente nivel en cuanto a creatividad», como así afirma Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. ¿Y cómo lo hicieron? Creando su propia plataforma de streaming llamada BravoMovies que incluía además un catálogo de películas, aunque todas eran falsas. “Sí que habíamos visto ataques en los que se utilizaban conocidas marcas de streaming para phishing de credenciales, pero esto es algo totalmente nuevo. Nunca habíamos visto antes que los atacantes creasen de cero una plataforma fraudulenta de este tipo y de forma tan completa. Cada vez son más creativos en sus amenazas dados los esfuerzos de las organizaciones por detener amenazas de malware que, en muchos casos, pueden derivar en incidentes de ransomware”, prosigue DeGrippo.
Desde hace décadas se ha comprobado la efectividad de la ingeniería social como vector de ataque, de ahí que siga utilizándose para desencadenar en el usuario una respuesta que le lleve a realizar una acción o serie de acciones concretas. En esta campaña de BazaLoader la víctima recibía un email en el cual se decía que su suscripción de prueba a BravoMovies estaba a punto de finalizar o que ya lo había hecho y se había modificado su perfil hacia una cuenta prémium del servicio. También aparecían números de teléfono y otras referencias a la supuesta empresa BravoMovies, así como avisos al usuario de que, si no cancelaba su suscripción, se haría un cargo en su cuenta bancaria.
Entraba aquí otra de las novedades de esta campaña de BazaLoader y que subraya la importancia de la interacción humana en el actual panorama de ciberamenazas: en la cadena de infección se incluía un servicio de atención telefónica para que las víctimas se descargasen e instalasen el malware sin saberlo. Lograr que un usuario levante el teléfono y haga una llamada requiere sin duda de más esfuerzo por parte de los ciberdelincuentes. Según DeGrippo, «estas estafas relacionadas con un supuesto soporte técnico existen desde hace años, pero en el caso de BazaLoader se trata de un fraude más personalizado que utiliza el correo electrónico como cebo inicial».
Pese a la cantidad de acciones que se requería al usuario, lo cual disminuye las posibilidades de que complete el ataque con éxito, este enrevesado sistema ayudaba a los atacantes a eludir sistemas automáticos de detección de amenazas que advierten únicamente de enlaces o archivos adjuntos maliciosos en emails. En el último paso, cuando finalmente se conseguía que el usuario entrara al sitio web fraudulento para que siguiese las indicaciones y se diese de baja en el servicio, se descargaba una hoja de Excel con macros que, una vez activados, distribuían BazaLoader.
BazaLoader es un downloader en lenguaje de programación C++ que se usa para descargar y ejecutar módulos adicionales. Proofpoint lo observó por primera vez en abril de 2020 y actualmente sirve a numerosos ciberdelincuentes para realizar ataques disruptivos de malware, incluidos los ransomware Ryuk y Conti. Según la compañía de ciberseguridad, habría muchas probabilidades de que haya una correlación entre los atacantes que distribuyen BazaLoader y quienes lo hacen con el malware The Trick, también conocido como Trickbot. Tanto unos como otros continuarán utilizando estas elaboradas técnicas de ingeniería social en futuras campañas de amenazas.
