20 octubre, 2021 Por Luciano Miguel Tobaría

El equipo de Threat Intelligence de Hispasec Sistemas ha descubierto recientemente una infraestructura de fraude que se difunde por redes sociales mediante técnicas de ingeniería social. Esta estafa, denominada como Anniversary, es capaz de adaptarse al idioma y la moneda oficial del país desde el que se accede a la misma. Se persigue la obtención de datos personales tales como el número de teléfono, la dirección postal o los datos de la tarjeta del banco.

Múltiples empresas internacionales afectadas por la campaña de fraude

Promoción fraudulenta de aniversario

La campaña de fraude detectada intenta simular una promoción especial con motivo del aniversario de la empresa que trata de suplantar. Como se puede apreciar en la figura mostrada más abajo, Anniversary comienza con su difusión por redes sociales (paso 1). Se pretende engañar a las víctimas con el sorteo de una tarjeta de regalo que se obtiene tras rellenar un cuestionario (paso 2). Una vez que la víctima rellena el cuestionario, se muestra un supuesto juego de azar de selección de cajas, generalmente ambientado, como decimos en algún tipo de aniversario u otro evento especial referente a la empresa (paso 3). Tras dicho juego, se pide a la víctima que comparta la promoción con varios amigos a través de Whatsapp para recibir el premio (paso 4, vuelta al paso 1).

Así consigue el atacante que las víctimas difundan la promoción fraudulenta entre sus contactos. Además, al compartir la promoción entre los contactos del afectado, se envía una nueva URL con un dominio diferente, dificultando, de este modo, la mitigación de la campaña al estar distribuida entre multitud de dominios. El siguiente paso (paso 5) del fraude consiste en redirigir a la víctima de forma aleatoria entre un conjunto de direcciones que contienen distintos tipos de fraude y promociones maliciosas.

El diseño de las páginas de fraude sigue la estética de las empresas a las que se trata de suplantar, llegando a imitar incluso las aplicaciones propias de las entidades en caso de existir. Consiguiendo así ocultar el fraude con el uso de los colores corporativos y el logo de la empresa que se trata de suplantar.

Hemos comprobado que el principal vector de propagación de la Anniversary es la difusión por WhatsApp entre conocidos. Sin embargo, no se descarta que se estén utilizando en paralelo otros medios de difusión como publicaciones en otras redes sociales o campañas de spam. Por lo tanto, la campaña está diseñada principalmente para su difusión móvil, aprovechándose de las relaciones de confianza de las víctimas.

Segunda fase del fraude

La segunda fase de la campaña de fraude se inicia tras haber sido compartida por redes sociales. En este punto, la víctima es redirigida aleatoriamente a una nueva dirección web entre varias opciones, como veremos a continuación. Se han detectado varias estrategias de fraude diferentes que solicitan a la víctima una nueva acción para obtener el premio prometido.

Si se detecta un equipo de sobremesa (paso 5.1), la víctima será redirigida, entre otras opciones, a un sitio donde se le solicita la instalación de una extensión de Chrome. Esta extensión simula ser un bloqueador de anuncios convencional, aunque presenta algunas funcionalidades extra (maliciosas). Entre ellas, la posibilidad de descargarse scripts adicionales del sitio del desarrollador sin solicitar permiso al usuario. La extensión también es capaz de acceder a los datos locales de la víctima para enviárselos al atacante. Además, ejecuta otros procesos en segundo plano capaces de capturar los datos enviados y de alterar los datos recibidos por el navegador. En definitiva, el atacante sabe qué envías y decide lo que tú ves.

Con los dispositivos móviles (paso 5.2) se han confirmado varias estrategias de ingeniería social para obtener datos privados de la víctima tales como: la dirección postal, el número de teléfono e incluso los datos de la tarjeta del banco. En algunas páginas de fraude a las que puede ser redirigida la víctima se simula ser la compañía de transportes para obtener la dirección postal de la víctima. En otras se solicitan los datos de la tarjeta para realizar un cargo de entre 1€ y 3€ para, supuestamente confirmar la identidad el solicitante. Y en otras se solicita el número de teléfono de la víctima para realizar una suscripción a un servicio premium que, en ocasiones, ha llegado a ser de hasta 80€ mensuales.

Dominios registrados

Los atacantes están usando distintos TLDs tales como .cn, .cyou, .shop, .top y .work para el registro de los dominios fraudulentos. Preferentemente los atacantes de Anniversary están haciendo uso de los servicios como registrador de DNSPod (IANA: 1697) o con Alibaba Cloud (IANA: 3775). Respecto al hospedaje web, la mayoría de las páginas fraudulentas están hospedadas en servidores de Google Cloud y tienen contratados los servicios de proxy inverso de Cloudflare para proteger la infraestructura de fraude. Actualmente, se han identificado más de 800.000 páginas fraudulentas bajo este tipo de estafa.

Teniendo en cuenta los precios actuales del mercado referentes a la compra de dominios y alojamiento web, se estima que el coste de la inversión para montar la infraestructura de fraude analizada podría rondar entre el millón y el millón y medio de euros anuales. Tanto en cuanto, el equipo técnico de Hispasec sigue recopilando información y encontrando nuevos dominios por lo que la repercusión está aún bajo estudio.

Empresas afectadas y alcance de la campaña de fraude

Aún dejando claro que las empresas reales no tienen ninguna relación con este fraude, es renombrable que todos los dominios detectados están preparados para simular las respectivas promociones de aniversario de más de doscientas marcas internacionales muy conocidas, tales como Audi, Mastercard, Coca Cola, Facebook, Instagram, Netflix o Amazon, entre muchas otras. Es por esto que el volumen de víctimas en potencia de Anniversary es sumamente elevado, al adaptarse al idioma y moneda de cualquier país y afectar a multitud de empresas de diversos sectores económicos.