Conclusiones clave Cyble Research and Intelligence Labs (CRIL) ha descubierto un sitio de phishing diseñado para imitar a Zoom, lo que facilita la descarga del software ScreenConnect. Los estafadores están aprovechando la reputación confiable de Zoom para engañar a las víctimas para que descarguen ScreenConnect. Al hacerse pasar por una plataforma ampliamente reconocida, el sitio de phishing aumenta la probabilidad de que las víctimas crean que la descarga es legítima, lo que baja la guardia. Este software ScreenConnect permite a los atacantes establecer una conexión remota con la computadora de la víctima, lo que les da acceso completo al sistema. La dirección IP asociada con el sitio de phishing de Zoom también está vinculada a otras actividades maliciosas. En particular, aloja un dominio involucrado en estafar a los titulares de cuentas de la Administración del Seguro Social (SSA), lo que indica que los mismos estafadores están ejecutando múltiples estafas desde la misma infraestructura. Otro aspecto de esta campaña implica correos electrónicos no deseados que afirman falsamente provenir del soporte de la SSA. Estos correos electrónicos se dirigen a los titulares de cuentas de la SSA, instándolos a descargar una aplicación supuestamente para mantenerse actualizados sobre el estado de su cuenta. Descripción general Cyble Research & Intelligence Labs (CRIL) ha identificado un sitio web de phishing diseñado para hacerse pasar por Zoom. Este sitio fraudulento engaña a los usuarios para que descarguen el software ScreenConnect. Una vez instalado, ScreenConnect se conecta a un dominio sospechoso, lo que otorga acceso no autorizado a la computadora de la víctima. Este acceso permite a los atacantes tomar el control de las máquinas afectadas y proceder a realizar más actividades maliciosas. En particular, el dominio sospechoso vinculado a la instalación de ScreenConnect se resuelve en una dirección IP que también aloja otro dominio involucrado en estafar a los titulares de cuentas de la Administración del Seguro Social (SSA). Un usuario de Facebook destacó esta conexión en una publicación, revelando la misma infraestructura utilizada para múltiples estafas dirigidas a diferentes grupos. Esto indica una operación más amplia en la que se utiliza la misma red para perpetrar varios tipos de fraude. En la siguiente figura, los lectores pueden ver el sitio de phishing de Zoom en cuestión. Figura 1: Sitio de phishing Cómo funciona la estafa La estafa a menudo comienza con un correo electrónico, un mensaje de texto o una llamada de phishing, que afirma ser de una fuente confiable (por ejemplo, Amazon, PayPal o incluso agencias gubernamentales). El estafador informa a la víctima de un problema urgente, como una cuenta comprometida, un reembolso o un problema de soporte técnico. El estafador le indica a la víctima que llame a un número de soporte técnico falso o haga clic en un enlace presente en el correo electrónico no deseado. Se hacen pasar por un representante de soporte legítimo y afirman ayudar a resolver el problema. Una vez que la víctima se comunica, el estafador le pide que instale un software de escritorio remoto como ScreenConnect, lo que le permite tomar el control de la computadora de la víctima con el pretexto de «solucionar» el problema. Después de obtener acceso remoto, el estafador puede ver el escritorio de la víctima, manipular archivos y obtener acceso a información confidencial que va desde cuentas bancarias y contraseñas hasta datos personales. Con el control de la computadora, los estafadores pueden iniciar transacciones fraudulentas, solicitar pagos en forma de tarjetas de regalo o criptomonedas, o transferir fondos directamente desde las cuentas bancarias de la víctima. En 2023, CISA publicó una advertencia sobre una estafa en la que los estafadores se comunicaban con los usuarios a través de correos electrónicos no deseados, haciéndose pasar por Geek Squad con respecto a las renovaciones de suscripciones. El correo electrónico incluía un número de teléfono de atención al cliente, en el que se indicaba a los destinatarios que llamaran si no autorizaban el cargo o querían cancelar y solicitar un reembolso. Cuando las víctimas llamaban, los estafadores las convencían de que descargaran el software ScreenConnect, lo que les daba acceso remoto a las computadoras de las víctimas. Con este acceso, los estafadores manipulaban el resumen de la cuenta bancaria para mostrar falsamente que se había emitido un reembolso en exceso. Luego presionaban a las víctimas para que «devolvieran» el supuesto pago en exceso, que se enviaba directamente a los estafadores. La víctima en realidad nunca recibió dinero extra en su cuenta bancaria, solo parecía así porque el estafador manipuló la pantalla. Una vez que la víctima envía el «reembolso», en realidad está enviando su propio dinero al estafador, que luego desaparecerá. Análisis de la campaña En esta campaña, se sospecha que los estafadores convencerán a las víctimas de que descarguen el software ScreenConnect a través de un sitio de phishing con temática de Zoom. El binario descargado «Private-Meeting.ClientSetup.exe» es un binario de 32 bits que contiene cinco archivos PE en la sección de recursos, con algunos nombres de archivo que sugieren la instalación del software ScreenConnect. Figura 2 – Recursos integrados Cuando la víctima ejecuta el binario, extrae un instalador MSI de la sección de recursos y lo guarda en el directorio temporal. Luego, el binario lee la firma digital del ejecutable principal, firma esta firma en el archivo de instalación y usa msiexec.exe para instalar ScreenConnect en el sistema. Este proceso está diseñado para que la instalación parezca legítima. Figura 3 – Fragmento de código que maneja la instalación de ScreenConnect Luego se inicia el cliente ScreenConnect, que se conecta al dominio especificado “poyttwq[.]Zapato[.]org” en el puerto 8041, como se muestra en la figura siguiente. Figura 4 – Comando de ejecución del cliente ScreenConnect El servidor en “poyttwq.zapto[.]org” está alojado en la dirección IP “79.110.49[.]157”, que también alberga el sitio web “railindiaticket[.]En este sitio se muestra una página con el icono de ConnectWise, el título “Soporte” y se solicita a los usuarios que ingresen un código seguro para continuar, lo que sugiere que el sitio web está involucrado en una estafa relacionada con ConnectWise. Figura 5: sitio web fraudulento que solicita ingresar un código seguro Durante nuestra investigación de este sitio web fraudulento, descubrimos una publicación en las redes sociales en la que un usuario informó haber recibido un correo electrónico de “support@railindiaticket[.]en”, afirmando falsamente ser del soporte de la Administración del Seguro Social (SSA). El correo electrónico instaba al destinatario a descargar una aplicación. Con base en esta publicación, sospechamos que el estafador detrás de esta campaña está apuntando a los titulares de cuentas de la SSA e intentando engañarlos para que instalen software como ConnectWise. Figura 6 – Publicación en redes sociales denunciando una estafa de soporte La Administración del Seguro Social (SSA) es una agencia del gobierno de los EE. UU. responsable de administrar el Seguro Social, un programa gubernamental que brinda beneficios de jubilación, discapacidad y supervivencia a los estadounidenses elegibles. La SSA emite números de Seguro Social (SSN), que se utilizan para rastrear las ganancias y los beneficios de las personas a lo largo de sus vidas. El 7 de agosto, la Oficina del Inspector General (SSA) emitió un aviso de alerta de estafa, advirtiendo sobre los estafadores que intensifican sus tácticas mediante el uso de correos electrónicos y mensajes de texto falsos de soporte técnico de Amazon o PayPal. Estos mensajes tienen como objetivo conectar a las víctimas con personas que se hacen pasar por empleados de la Administración del Seguro Social (SSA), quienes luego intentan convencer a las víctimas de que su número de Seguro Social (SSN) o registro ha sido comprometido. Los estafadores utilizan un enfoque de «estafa a largo plazo» y luego pasan a la víctima a un impostor que se hace pasar por un agente de la SSA, explotando información personal detallada para generar confianza. Este esquema a menudo culmina con la víctima entregando objetos de valor o dinero durante una reunión en persona simulada con alguien involucrado en la estafa. Este método, conocido como «matanza de cerdos», está diseñado para agotar los recursos de la víctima. Figura 7 – Aviso de la SSA Conclusión Al aprovechar un sitio web falso con temática de Zoom y binarios firmados digitalmente, los estafadores enmascararon con éxito la instalación del software ScreenConnect como un proceso legítimo. El uso de ScreenConnect, una aplicación de escritorio remoto ampliamente reconocida, ayudó aún más al engaño, permitiendo a los estafadores obtener acceso no autorizado a los sistemas de las víctimas con el pretexto de brindar soporte. Esta misma infraestructura se utiliza para múltiples actividades fraudulentas, incluidas estafas dirigidas a titulares de cuentas de la Administración del Seguro Social (SSA). Esta campaña de phishing ejemplifica los métodos cada vez más sofisticados que utilizan los ciberdelincuentes para engañar a las víctimas y lograr que comprometan sus propios sistemas. Recomendaciones La Administración del Seguro Social (SSA) normalmente se comunica con los beneficiarios a través de canales oficiales, no por correos electrónicos o llamadas telefónicas no solicitadas. Si recibe un mensaje sospechoso, no haga clic en enlaces ni proporcione información personal. Si no está seguro de la legitimidad de una comunicación, comuníquese con la SSA directamente a través de su sitio web oficial o número de servicio al cliente, no a través de la información de contacto proporcionada en el mensaje sospechoso. La SSA nunca le pedirá que descargue software o aplicaciones por correo electrónico o mensaje de texto. Si recibe una solicitud como esta, es probable que se trate de una estafa. Verifique siempre las URL de los sitios web para asegurarse de que pertenecen al dominio legítimo de la SSA (por ejemplo, www.ssa.gov). Los estafadores pueden usar ligeras variaciones en las URL para engañar a las víctimas. Técnicas Tácticas de MITRE ATT&CK®TécnicasProcedimientoAcceso inicial (TA0001)Phishing (T1566)Usa un sitio web de phishingComando y control (TA0011)Software de acceso remoto (T1219)Instala ScreenConnectEjecución (TA0002)Ejecución del usuario: archivo malicioso (T1204.002)Los estafadores confían en que los usuarios ejecuten el software ScreenConnectEvasión de defensa (TA0005)Archivos o información ofuscados (T1027)Los binarios .NET se almacenan en la sección de recursos del ejecutable principal Indicadores de compromiso Indicadores Tipo de indicador Descripciónzoominvite[.]liveDomainSitio de phishing4e81851729d58f321bb83bdb03200f62bc5ee56e0703b2d609a3923a033d5b53SHA256Zoom.exepoyttwq[.]Zapato[.]Servidor remoto orgDomain79.110.49[.]157IPv4Resuelto IPrailindietiquete[.]Sitio relacionado con inDomainPhishing