Smishing y vulnerabilidades en sitios web de WordPress, amenazas destacadas

Durante el segundo semestre de este año 2022 se encontraron vulnerabilidades importantes en materia de smishing y los sitios de WordPress,según detalla el informe “Infoblox Quarterly Cyberthreat Intelligence Report”.

Smishing

Consiste en el uso combinado de mensajes SMS y técnicas de phishing para acceder a información privada de las víctimas, incluidas contraseñas, identidad e información financiera.

Con esta técnica se eluden filtros de spam móvil utilizando números de teléfono de remitente falso e incluso el de la propia víctima. Los mensajes suelen incluir algún incentivo para que el destinatario haga clic en un enlace, que puede ser para un sitio que aloja malware o una página que intenta convencer al usuario a enviar datos a través de un formulario.

En este trimestre se han observado múltiples campañas de smishing, que tienen como denominador común redirigir a una URL fraudulenta o se producen varios redireccionamientos hasta acabar en un dominio fraudulento.

Estos ataques son cada vez más sofisticados. En las campañas analizadas los mensajes contenían enlaces maliciosos y parecían provenir de los propios destinatarios.

Los enlaces llevaban a páginas de encuestas falsas donde se pide a las víctimas rellenar formularios con datos personales e información de tarjetas de crédito. Los actores redirigían a las víctimas a través de una serie de dominios para evitar el análisis y la detección del fraude.

WordPress websites

Es un conjunto de instancias creadoras de ciberataques que utilizan algoritmos de generación de dominios para realizar los ataques y distribuir adware, spyware y formularios web fraudulentos.

Los ciberatacantes de VexTrio utilizan intensamente la gestión de dominios y el protocolo DNS, aprovechan los sitios web vulnerables de WordPress como vectores de ataque para distribuir contenido fraudulento a los visitantes de dichos sitios web sin que se enteren.

La cadena de ataque es la siguiente: primero detectan sitios web que muestran vulnerabilidades tipo XSS en plugins o características del website creado en WordPress. Luego introducen código JavaScript malicioso en ellos.

Cuando las víctimas visitan estos sitios web, son dirigidos a una página web de destino que aloja contenido fraudulento, a través de uno o más dominios de redirección intermediarios que también están controlados por los cibercriminales.

Guerra de Ucrania

A fines de marzo se pudo observar que la cantidad de dominios comenzaba a disminuir y el número de dominios nuevos comenzó a estabilizarse. Las tendencias más recientes, a partir de abril (semana 14), muestran que, en promedio, sigue habiendo un número mayor, aunque solo un poco, de nuevos dominios observados (legítimos y sospechosos /maliciosos) en comparación con antes de la invasión.

Recomendaciones para prevenir y mitigar estos riesgos

Todas las campañas identificadas utilizan el correo electrónico como vector de ataque. Muchos de los correos electrónicos distribuyen direcciones URL maliciosas que realizan múltiples redireccionamientos de las víctimas a otras páginas de destino fraudulentas.

Se recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS y utilizar una serie de medidas como:

En el caso de los ataques de smishing, se recomienda desconfiar de los mensajes de texto inesperados, especialmente aquellos que parecen contener correspondencia financiera o de entrega, documentos o enlaces. Nunca hacer click en direcciones URL en mensajes de texto de fuentes desconocidas, y especialmente cuando el origen es el número del propio destinatario.

En el caso de ataques VexTrio se recomienda deshabilitar JavaScript por completo en los navegadores web o habilitarlo solo para los de confianza. También se pueden utilizar complementos para bloquear anuncios emergentes así como un complemento NoScript, que solo permite ejecutar JavaScript y otros contenidos potencialmente dañinos en sitios de confianza.

La implementación de las fuentes RPZ de Infoblox en los firewalls puede detener la conexión por los actores a nivel del DNS, ya que todos los componentes descritos en este informe (sitios web comprometidos, dominios de redirección intermediarios, dominios DDGA y páginas de destino) requieren el protocolo DNS.

Por último, se puede utilizar el servicio Threat Insight de Infoblox, que realiza transmisión en tiempo real análisis en consultas DNS en tiempo real, puede proporcionar cobertura de alta seguridad y protección contra amenazas que se basan tanto en DGA como en DDGA.