Una reciente campaña de phishing dirigida a los sectores de seguros y finanzas ha despertado preocupación entre los expertos en ciberseguridad, al emplear repositorios de GitHub, bots de Telegram y códigos QR de forma abusiva. Esta nueva táctica está diseñada para eludir las medidas de seguridad tradicionales y entregar malware como Remcos RAT a través de correos electrónicos de phishing, según un informe de la firma de seguridad Cofense.
GitHub como herramienta para los cibercriminales
A diferencia de anteriores campañas que utilizaban repositorios maliciosos, los atacantes están aprovechando repositorios legítimos y bien calificados en GitHub, como el software de código abierto UsTaxes, el HMRC y InlandRevenue, lo que añade un grado de credibilidad a sus mensajes de phishing. Según Jacob Malimban, investigador de Cofense, este enfoque es relativamente nuevo y permite a los atacantes aprovechar la confianza que los sistemas de seguridad y los usuarios depositan en plataformas de código abierto como GitHub.
El método consiste en abrir una incidencia en un repositorio conocido y cargar una carga útil maliciosa. Una vez cargada, la incidencia se cierra sin guardar, pero el archivo sigue estando disponible a través de un enlace. Esto significa que los atacantes pueden compartir el enlace en correos electrónicos de phishing sin dejar rastro evidente. Este tipo de ataques es cada vez más frecuente debido a la facilidad con la que los cibercriminales pueden introducir malware sin ser detectados.
Uso de bots de Telegram y phishing dirigido en plataformas de reservas
Otro componente clave de esta campaña es el uso del kit de herramientas Telekopye Telegram, que ha ampliado su alcance más allá de las tradicionales estafas en mercados en línea. Recientemente, se ha observado un aumento en el uso de este kit para estafar a usuarios de plataformas de reservas de alojamiento, como Booking.com y Airbnb. Los atacantes utilizan cuentas comprometidas de hoteles y proveedores de alojamiento legítimos para contactar a sus víctimas, alegando problemas en el pago de sus reservas.
Los investigadores de ESET, Jakub Souček y Radek Jizba, explican que los atacantes identifican a usuarios que recientemente han realizado una reserva y les envían un mensaje a través del chat de la plataforma, haciéndose pasar por el proveedor de alojamiento. El mensaje suele incluir un enlace que lleva a una página de phishing donde se solicita a la víctima que ingrese su información financiera. Al tratarse de una interacción dentro de la misma plataforma, la estafa es mucho más difícil de detectar, ya que parece ser una comunicación legítima.
Evolución de las técnicas de evasión de seguridad
Además de GitHub y Telegram, los ciberdelincuentes han comenzado a utilizar códigos QR basados en ASCII y Unicode, y URLs de blob como métodos para evadir las herramientas de seguridad de correos electrónicos empresariales (SEG, por sus siglas en inglés). Estos URI de blob permiten representar datos binarios en la memoria del navegador, lo que dificulta su detección por parte de las herramientas de seguridad, según explica el investigador de seguridad Ashitosh Deshnur.
El abuso de estos métodos ha permitido a los atacantes generar automáticamente páginas de phishing, protegerlas de interrupciones y mejorar la comunicación con las víctimas a través de chatbots interactivos. Esta diversificación de técnicas y el uso de herramientas avanzadas está convirtiendo a los ataques de phishing en una amenaza cada vez más sofisticada.
Respuesta de las autoridades
Las operaciones detrás del kit Telekopye no han pasado desapercibidas. En diciembre de 2023, las autoridades de Chequia y Ucrania detuvieron a varios ciberdelincuentes vinculados con el uso de bots de Telegram para el phishing. La Policía de la República Checa indicó en un comunicado que estos delincuentes no solo creaban y mantenían las herramientas maliciosas, sino que también garantizaban el anonimato de sus cómplices y brindaban asesoramiento sobre cómo ocultar actividades delictivas.
Los grupos operaban principalmente desde Europa del Este y Asia, reclutando a personas en situaciones difíciles o estudiantes con formación técnica a través de anuncios que prometían «dinero fácil». Estos avances muestran que, a pesar de los contratiempos, los actores de amenazas siguen perfeccionando sus técnicas para evadir la detección y lograr su cometido.
Conclusión
Esta nueva ola de ataques pone de relieve la constante evolución del phishing y las estrategias empleadas por los cibercriminales para eludir las barreras de seguridad. GitHub, los bots de Telegram y los códigos QR se están utilizando de formas cada vez más sofisticadas, lo que subraya la necesidad de que las empresas y los usuarios mantengan una vigilancia constante y adopten medidas proactivas para protegerse de estas amenazas en constante cambio.
