En los últimos meses, múltiples organizaciones de derechos humanos en todo el mundo se han visto afectadas por ataques de phishing diseñados para engañar a los trabajadores de ayuda para que revelen sus credenciales. Según los investigadores de Lookout que descubrieron la campaña, una lista de víctimas incluye a más de una docena de organizaciones con los programas de la Cruz Roja, UNICEF, Alimentación Mundial de las Naciones Unidas y Desarrollo de las Naciones Unidas, por nombrar algunas.
La campaña ha estado activa desde marzo de 2019, con los dos dominios [session-services [.] Com y service-ssl-check [.] Com] utilizados para alojar el contenido de phishing asociado con el bloqueo de red IP y ASN (Número de sistema autónomo) ) que se sabe que alojan malware en el pasado.
La campaña utiliza varias técnicas notables, incluida la capacidad de detectar dispositivos móviles y registrar pulsaciones de teclas directamente a medida que se ingresan en el campo de contraseña.
“Específicamente, la lógica del código Javascript en las páginas de phishing detecta si la página se está cargando en un dispositivo móvil y, en ese caso, ofrece contenido específico para dispositivos móviles. Los navegadores web móviles también ayudan involuntariamente a ofuscar las URL de phishing al truncarlas, lo que dificulta a las víctimas descubrir el engaño ”, explicaron los investigadores.
Lookout también descubrió que los piratas informáticos incorporaron la funcionalidad de registro de claves en el campo de contraseña de las páginas de inicio de sesión de phishing, permitiéndoles recopilar los datos incluso si la víctima no completa la actividad de inicio de sesión o inserta una contraseña no deseada.
Los atacantes también usan certificados SSL destinados a agregar credibilidad a las páginas de phishing. De todos los certificados utilizados en esta campaña hasta ahora, solo seis de ellos siguen siendo válidos, lo que sugiere que estos ataques aún pueden estar en curso.
"Los certificados SSL utilizados por la infraestructura de phishing tenían dos rangos principales de validez: del 5 de mayo de 2019 al 3 de agosto de 2019 y del 5 de junio de 2019 al 3 de septiembre de 2019", dijeron los investigadores.
El equipo de investigación no ha podido atribuir la campaña a ningún grupo o país en particular. En cuanto al motivo de este ataque, su objetivo es comprometer las credenciales de Okta y Microsoft para obtener acceso a estas cuentas, que podrían usarse para más ataques o recopilación de inteligencia, dijeron los investigadores.
La lista completa de las organizaciones objetivo, incluidas las URL y otros IoC, está disponible al final del informe de Lookout .
https://blog.lookout.com/lookout-phishing-ai-discovers-phishing-attack-targeting-humanitarian-organizations
