Netskope Threat Labs descubrió una extensa operación de phishing que involucraba a 260 dominios que alojaban aproximadamente 5000 archivos PDF maliciosos.
Estos documentos, disfrazados de recursos legítimos, emplean mensajes CAPTCHA falsos para redirigir a las víctimas a sitios de phishing diseñados para recopilar detalles de tarjetas de crédito e información personal.
La campaña, activa desde la segunda mitad de 2024, ha impactado a más de 1150 organizaciones y 7000 usuarios en todo el mundo, con un enfoque en los sectores de tecnología, servicios financieros y manufactura en América del Norte, Asia y el sur de Europa.
Descripción general de la campaña: envenenamiento de SEO y amenazas CAPTCHA falsas
Los atacantes aprovecharon el envenenamiento de la optimización de motores de búsqueda (SEO) para garantizar que los archivos PDF maliciosos aparezcan de manera destacada en los resultados de búsqueda para consultas comunes.
Al incrustar imágenes CAPTCHA falsas, alojadas en plataformas como la red de entrega de contenido (CDN) de Webflow, en archivos PDF, las víctimas se ven atraídas a interactuar con lo que parece ser un paso de verificación.
Al hacer clic en CAPTCHA, se redirige a los usuarios a páginas de phishing que imitan marcas confiables, donde se les solicita que ingresen detalles de pago o credenciales de inicio de sesión.
El análisis de Netskope reveló que el 40% de los archivos PDF maliciosos se dirigen a usuarios que buscan manuales de usuario o guías técnicas, mientras que el 35% se hacen pasar por plantillas para facturas, formularios de impuestos o acuerdos legales.
Se incorporaron sistemáticamente palabras clave como “gratis”, “descargable” e “imprimible” para explotar a las víctimas que buscaban recursos urgentes.
En particular, los atacantes ampliaron su alcance cargando archivos PDF en repositorios como PDFCoffee, PDF4Pro e Internet Archive, aprovechando la confiabilidad inherente de estas plataformas.
Explotación de infraestructura y dominios
La CDN de Webflow surgió como la plataforma de la que más se abusa, ya que alberga el 22 % de los archivos PDF maliciosos.
Sin embargo, la campaña se diversificó en múltiples redes de entrega de contenido, incluidos dominios asociados a GoDaddy (wsimg.com, s123-cdn-static.com), Strikingly, Wix y Fastly.
Este enfoque multiplataforma complica la detección, ya que el contenido fraudulento se mezcla con tráfico legítimo en servicios ampliamente utilizados.
Los investigadores identificaron tres estrategias de phishing distintas:
- Robo financiero directo: archivos PDF que solicitan el ingreso inmediato de la tarjeta de crédito con pretextos como “tarifas de acceso a documentos” o “verificación de membresía”.
- Recolección de credenciales: portales de inicio de sesión falsos para servicios en la nube (por ejemplo, Microsoft 365, Google Workspace) vinculados directamente desde botones PDF.
- Entrega de malware: un subconjunto de archivos PDF utilizó CAPTCHA falsos para activar descargas de malware basadas en PowerShell, en particular Lumma Stealer.
El papel de Lumma Stealer en la cadena de ataque
Si bien la mayoría de los archivos PDF se centraban en estafas financieras, el 8% sirvió como punto de entrada para Lumma Stealer, un ladrón de información capaz de extraer contraseñas de navegadores, carteras de criptomonedas y cookies de sesión.
La cadena de infección comienza cuando una víctima hace clic en el botón «Descargar» incrustado en el PDF, lo que la redirige a una página que le indica que pegue un comando de PowerShell en el cuadro de diálogo Ejecutar.
El comando utiliza MSHTA (Microsoft HTML Application Host) para recuperar un script de un sitio de WordPress comprometido, que luego descarga y ejecuta Lumma Stealer.
Los atacantes utilizaron deliberadamente PowerShell v1.0 (una versión heredada que a menudo está exenta del monitoreo de seguridad moderno) para evadir la detección.
Esta técnica refleja las tácticas observadas en las campañas del cuarto trimestre de 2024, lo que sugiere la participación de actores de amenazas experimentados y familiarizados con las brechas de seguridad de los terminales.
Focalización sectorial e impacto global
El sector tecnológico representó el 34% de los ataques, y los actores de amenazas explotaron la frecuente necesidad de documentación técnica entre los profesionales de TI.
Le siguieron los servicios financieros (27%) y la manufactura (19%), probablemente debido a su dependencia de procesos basados en plantillas, como adquisiciones y cumplimiento.
Geográficamente, Estados Unidos (42%), India (18%) e Italia (12%) registraron la mayor concentración de incidentes, alineándose con regiones donde las industrias objetivo dominan la actividad económica.
Desafíos y recomendaciones de mitigación
Netskope enfatizó la dificultad de combatir el phishing impulsado por SEO, ya que la eliminación de un dominio a menudo conduce a un rápido resurgimiento en otros.
El uso de CDN acreditadas complica aún más las listas negras, ya que los equipos de seguridad corren el riesgo de bloquear servicios legítimos. Para contrarrestar estas amenazas, se recomienda a las organizaciones:
- Implemente un filtrado de URL avanzado que analice el contenido de la página en tiempo real, en lugar de depender únicamente de la reputación del dominio.
- Restrinja la ejecución de PowerShell a scripts firmados y supervise el uso de versiones heredadas.
- Eduque a los empleados sobre cómo identificar recursos PDF «demasiado buenos para ser verdad», en particular aquellos que requieren CAPTCHA para acceder.
Esta campaña subraya la creciente sofisticación de las operaciones de phishing, donde los atacantes combinan la ingeniería social tradicional con la agilidad de la infraestructura.
Mientras Netskope Threat Labs continúa monitoreando el panorama de amenazas, el descubrimiento resalta la necesidad crítica de defensas en capas que combinen la detección de amenazas impulsada por IA, políticas estrictas de endpoints y el intercambio de inteligencia sobre amenazas entre sectores.
Dado que los atacantes abusan cada vez más de las plataformas confiables, las medidas de seguridad proactivas deben extenderse más allá del perímetro de la red para incluir educación del usuario y análisis de comportamiento.
