Nuevo Kit de phishing para PayPal hacia los sitios WordPress

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un kit de phishing recientemente descubierto dirigido a los usuarios de PayPal está tratando de robar una gran cantidad de información personal de las víctimas que incluye documentos de identificación y fotos del gobierno.

Más de 400 millones de personas y empresas utilizan PayPal como solución de pago en línea.

El kit está alojado en sitios web legítimos de WordPress que han sido pirateados, lo que le permite evadir la detección hasta cierto punto.

Violación de sitios web con inicio de sesión débil

Los investigadores de la empresa de tecnología de Internet Akamai encontraron el kit de phishing después de que el actor de amenazas lo colocara en su honeypot de WordPress.

El actor de amenazas se dirige a sitios web mal protegidos y con fuerza bruta violan su inicio de sesión utilizando una lista de pares de credenciales comunes que se encuentran en línea. Usan este acceso para instalar un complemento (plugin) de administración de archivos que permite cargar el kit de phishing en el sitio violado.

Akamai descubrió que un método que utiliza el kit de phishing para evitar la detección es hacer una referencia cruzada de las direcciones IP a los dominios que pertenecen a un conjunto específico de empresas, incluidas algunas organizaciones en la industria de la ciberseguridad.

Página de aspecto legítimo

Los investigadores notaron que el autor del kit de phishing hizo un esfuerzo para que la página fraudulenta pareciera profesional e imitara el sitio original de PayPal tanto como fuera posible.

Un aspecto que observaron fue que el autor usa htaccess para reescribir la URL para que no termine con la extensión del archivo PHP. Esto se suma a una apariencia más limpia y pulida que otorga legitimidad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, todos los elementos de la interfaz gráfica en los formularios tienen el estilo del tema de PayPal, por lo que las páginas de phishing tienen una apariencia aparentemente auténtica.

Proceso de robo de datos

El robo de los datos personales de una víctima comienza con la presentación de un desafío CAPTCHA, un paso que crea una falsa sensación de legitimidad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de esta etapa, se le pide a la víctima que inicie sesión en su cuenta de PayPal utilizando su dirección de correo electrónico y contraseña, que se entregan automáticamente al autor de la amenaza.

Sin embargo, esto no es todo. Bajo el pretexto de "actividad inusual" asociada con la cuenta de la víctima, el actor de amenazas solicita más información de verificación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En una página posterior, se le pide a la víctima que proporcione una serie de detalles personales y financieros que incluyen datos de la tarjeta de pago junto con el código de verificación de la tarjeta, la dirección física, el número de seguro social y el apellido de soltera de la madre.

Parece que el kit de phishing se creó para exprimir toda la información personal de la víctima. Además de los datos de la tarjeta que normalmente se recopilan en las estafas de phishing, esta también exige el número de seguro social, el apellido de soltera de la madre e incluso el número PIN de la tarjeta para transacciones en cajeros automáticos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La recopilación de tanta información no es típica de los kits de phishing. Sin embargo, este va más allá y pide a las víctimas que vinculen su cuenta de correo electrónico a PayPal. Esto le daría al atacante un token que podría usarse para acceder al contenido de la dirección de correo electrónico proporcionada.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A pesar de haber recopilado una gran cantidad de información personal, el actor de amenazas no ha terminado. En el siguiente paso, le piden a la víctima que cargue sus documentos oficiales de identificación para confirmar su identidad.

Los documentos aceptados son el pasaporte, el documento nacional de identidad o el carné de conducir, y el procedimiento de carga viene con instrucciones específicas, tal como lo pediría PayPal o un servicio legítimo a sus usuarios.

Los ciberdelincuentes podrían usar toda esta información para una variedad de actividades ilegales que van desde todo lo relacionado con el robo de identidad hasta el lavado de dinero (por ejemplo, crear cuentas comerciales de criptomonedas, registrar empresas) y mantener el anonimato al comprar servicios para hacerse cargo de cuentas bancarias o clonar tarjetas de pago.

"Cargar documentos gubernamentales y tomarse una selfie para verificarlos es un juego de pelota más grande para una víctima que simplemente perder la información de la tarjeta de crédito: podría usarse para crear cuentas comerciales de criptomonedas con el nombre de la víctima. Estos podrían usarse para lavar dinero, evadir impuestos o brindar anonimato para otros delitos cibernéticos." -Akamai

Aunque el kit de phishing parece sofisticado, los investigadores descubrieron que su función de carga de archivos viene con una vulnerabilidad que podría explotarse para cargar un web shell y tomar el control del sitio web comprometido.

Dada la gran cantidad de información solicitada, la estafa puede parecer obvia para algunos usuarios. Sin embargo, los investigadores de Akamai creen que este elemento específico de ingeniería social es lo que hace que el kit tenga éxito.

Explican que la verificación de identidad es normal en estos días y esto se puede hacer de múltiples maneras. "La gente juzga a las marcas y empresas por sus medidas de seguridad en estos días", dicen los investigadores.

El uso del desafío captcha indica desde el principio que se puede esperar una verificación adicional. Al usar los mismos métodos que los servicios legítimos, el actor de amenazas solidifica la confianza de la víctima.

Se recomienda a los usuarios que verifiquen el nombre de dominio de una página que solicite información confidencial. También pueden ir a la página oficial del servicio, escribiéndolo manualmente en el navegador, para verificar si la verificación de identidad está en orden.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta