Contenido actualizado al 29/4/2019

Este artículo iba a ser una alerta sobre un simple phishing que está circulando de manera activa por WhatsApp suplantando la identidad de LATAM y engañando a usuarios desprevenidos con la falsa promesa de dos pasajes gratis. Sin embargo, derivó en el hallazgo de dos dominios que alojan varias campañas de phishing suplantando la identidad de múltiples marcas. Todo comenzó con el mensaje de una campaña que llego al laboratorio de ESET Latinoamérica para su análisis. A continuación, te contamos los detalles.

Mensaje de WhatsApp con campaña de phishing que suplanta identidad de Latam

Tras analizar la campaña encontramos muchas similitudes con otras campañas que estuvimos reportando esta misma semana, como la que prometía una cafetera gratis. Si bien esta nueva campaña se encuentra en otro dominio, presenta muchas similitudes en la forma de propagación (un mensaje prometiendo algo gratis), ya que invita a la víctima a participar de una encuesta para luego forzarla a tener que compartir dicho mensaje con una determinada cantidad de usuarios para poder acceder, supuestamente, al premio.

El único objetivo de esta campaña de phishing es mostrar banners con publicidad del servicio de Google Ads. Pero decidimos llevar el análisis un poco más a fondo para investigar qué otros posibles ataques y campañas activas se encontraban hosteadas en el mismo sitio.

Con una simple búsqueda en Google de páginas indexadas en el dominio de referencia, para sorpresa de la investigación, aparecen 12 sitios indexados, todos con campañas activas de phishing, queriendo suplantar la identidad de distintas empresas, (Latam, Carrefour, Adidas, e inclusive sitios gubernamentales de distintos países de América Latina, como el Instituto de Seguros Sociales de Argentina).

Búsqueda de páginas indexadas bajo este dominio

Particularmente, llama la atención la presencia de campañas con enfoque claramente regional, como Carrefour, Latam, Adidas o la ya reportada del cambio de colores de Whatsapp. También sitios que apuntan a públicos específicos de países como Argentina, Costa Rica, México, España, Ecuador, Paraguay; cada uno con una campaña que busca suplantar la identidad del Instituto de Seguros Sociales del lugar y ofrece retiros de dinero para empleados que trabajaron en un rango de años (1990 y 2019). Cada sitio replica los escudos y logos de los respectivos países, y todos con las mismas intenciones: que las víctimas completen una encuesta, compartan el mensaje y sigan propagando las campañas.

Otra particularidad que se observó durante la investigación es que si se detenía mucho tiempo en una misma página, el sitio automáticamente redireccionaba a otra de las campañas vigentes.

En todos los casos no se encontraron mayores intenciones a la de desplegar publicidad, lo que supone que la monetización de este tipo de ataques se basó únicamente en la publicidad.

Se probó en distintas plataformas, dispositivos y exploradores, y no instaló extensiones ni agentes secundarios.

Siguiendo con el análisis y buscando información acerca del dominio, observamos que el mismo fue registrado en la plataforma GoDaddy el pasado mes de enero.

Información sobre el dominio

A simple vista se puede interpretar que los datos son falsos, ya que se repite lo mismo para los campos Dirección, Ciudad, Provincia, y el nombre del registrante es claramente una combinación sin sentido de letras, lo que da la pauta de que desde un comienzo el dominio se registró para ser utilizado con fines poco serios.

Este modus operandi de buscar desde público en general a publico especifico de ciertos países, no hace más que consolidar la idea de que el phishing sigue vigente, aplicando nuevas vías de comunicación como WhatsApp, pero con el único fin de engañar a usuarios a través de mensajes promocionales o empresas afines a los mismos. De hecho, según la edición 24 del Microsoft Security Intelligence Report, el phishing sigue siendo el método de ataque preferido por los cibercriminales y se espera que continúe siéndolo.

En el caso de LATAM se encontró también que es una campaña que a pesar de tener mas de 2 años, y ser reportada a sus clientes por la misma empresa en sus redes sociales, sigue activa y captando posibles victimas.

Comunicado de Latam en 2016 alertando a los usuarios sobre una campaña similar a la recientemente detectada

Otro dominio: más de 40 campañas de phishing 

Días después de analizar este dominio, un usuario en Twitter nos alertó sobre la existencia de otro dominio que alojaba más de 40 páginas de phishing que suplantaban la identidad de distintas marcas. Luego de analizar los datos de registro, pudimos ver muchas similitudes entre ambos dominios, como los datos de correo, dns, entre otros; lo cual nos hace pensar que existe la posibilidad de que ambos dominios hayan sido creados por los mismos actores maliciosos.

Según el motor de búsqueda de Google, este dominio presenta 52 sitios indexados, y como se puede ver en la imagen, las URL de las páginas suplantan la identidad de varias marcas de distintos países, con sitios tanto en Español, Inglés o Francés.

Un segundo dominio registra una gran cantidad de campañas de phishing

Conclusión

Al igual que con cualquier campaña de phishing o ingeniería social, para no ser víctimas de este tipo de engaño o similar, es importante que los usuarios estén atentos a este tipo de mensajes y que antes de hacer clic revisen la URL que contiene el mensaje, donde claramente en estos casos tiene poco que ver con las empresas originales. Otra recomendación es hacer una búsqueda en la web para ver si se encuentra información sobre esta promoción, ya sea en la página oficial o si alguien más reportó el engaño (en este caso particular se hubieran encontrado muchas alertas sobre la campaña).

A continuación, sugerimos una serie de lecturas que ayudarán a los usuarios a detectar este tipo de engaños y que cada vez sean menos las víctimas del phishing: