BazaFlix: Los ciberdelincuentes llevan la ingeniería social al siguiente nivel creando una falsa plataforma de streaming

Publicado el 07 junio 2021 por Lauratuero @incubaweb

Nadie está a salvo de sufrir un ataque informático. Los ciberdelincuentes aprovechan cualquier descuido para conseguir hacerse con información valiosa de los usuarios. Para ello no dudan en utilizar cualquier técnica que esté a su alcance. Lo último ha sido aprovechar las plataformas de entretenimiento online para comprometer la seguridad de los usuarios por medio del correo electrónico y otros documentos maliciosos.

Durante el pasado año 2020, fueron millones de personas los que se suscribieron a alguna plataforma de contenido en streaming, pero este año este tipo de consumo está disminuyendo, o bien se tiende a dar de alta gratis y cuando finaliza el periodo de prueba se cancela. Esta tendencia está siendo aprovechada por los creadores de una nueva campaña con el downloader BazaLoader y que fue detectada por primera vez en mayo por la empresa de ciberseguridad Proofpoint.

Interfaz de usuario gráfica, Sitio web

No obstante, en esta ocasión, «los ciberdelincuentes llevaron la ingeniería social al siguiente nivel en cuanto a creatividad», como así afirma Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. ¿Y cómo lo hicieron? Creando su propia plataforma de streaming llamada BravoMovies que incluía además un catálogo de películas, aunque todas eran falsas. “Sí que habíamos visto ataques en los que se utilizaban conocidas marcas de streaming para phishing de credenciales, pero esto es algo totalmente nuevo. Nunca habíamos visto antes que los atacantes creasen de cero una plataforma fraudulenta de este tipo y de forma tan completa. Cada vez son más creativos en sus amenazas dados los esfuerzos de las organizaciones por detener amenazas de malware que, en muchos casos, pueden derivar en incidentes de ransomware”, prosigue DeGrippo.

Desde hace décadas se ha comprobado la efectividad de la ingeniería social como vector de ataque, de ahí que siga utilizándose para desencadenar en el usuario una respuesta que le lleve a realizar una acción o serie de acciones concretas. En esta campaña de BazaLoader la víctima recibía un email en el cual se decía que su suscripción de prueba a BravoMovies estaba a punto de finalizar o que ya lo había hecho y se había modificado su perfil hacia una cuenta prémium del servicio. También aparecían números de teléfono y otras referencias a la supuesta empresa BravoMovies, así como avisos al usuario de que, si no cancelaba su suscripción, se haría un cargo en su cuenta bancaria.

Una captura de pantalla de un celular con texto e imagen

Entraba aquí otra de las novedades de esta campaña de BazaLoader y que subraya la importancia de la interacción humana en el actual panorama de ciberamenazas: en la cadena de infección se incluía un servicio de atención telefónica para que las víctimas se descargasen e instalasen el malware sin saberlo. Lograr que un usuario levante el teléfono y haga una llamada requiere sin duda de más esfuerzo por parte de los ciberdelincuentes. Según DeGrippo, «estas estafas relacionadas con un supuesto soporte técnico existen desde hace años, pero en el caso de BazaLoader se trata de un fraude más personalizado que utiliza el correo electrónico como cebo inicial».

Pese a la cantidad de acciones que se requería al usuario, lo cual disminuye las posibilidades de que complete el ataque con éxito, este enrevesado sistema ayudaba a los atacantes a eludir sistemas automáticos de detección de amenazas que advierten únicamente de enlaces o archivos adjuntos maliciosos en emails. En el último paso, cuando finalmente se conseguía que el usuario entrara al sitio web fraudulento para que siguiese las indicaciones y se diese de baja en el servicio, se descargaba una hoja de Excel con macros que, una vez activados, distribuían BazaLoader.

BazaLoader es un downloader en lenguaje de programación C++ que se usa para descargar y ejecutar módulos adicionales. Proofpoint lo observó por primera vez en abril de 2020 y actualmente sirve a numerosos ciberdelincuentes para realizar ataques disruptivos de malware, incluidos los ransomware Ryuk y Conti. Según la compañía de ciberseguridad, habría muchas probabilidades de que haya una correlación entre los atacantes que distribuyen BazaLoader y quienes lo hacen con el malware The Trick, también conocido como Trickbot. Tanto unos como otros continuarán utilizando estas elaboradas técnicas de ingeniería social en futuras campañas de amenazas.