AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales usan reclamaciones de copyright falsas para ataques de spear-phishing dirigidos a empresas**

admin

### 1. Introducción

Durante los últimos meses, se ha detectado una campaña de spear-phishing sofisticada atribuida al actor de amenazas conocido como Noodlophile, cuyo objetivo principal son organizaciones empresariales de diversos sectores. Esta campaña utiliza señuelos relacionados con supuestas infracciones de derechos de autor para engañar a empleados y acceder a infraestructuras corporativas. El uso de reclamaciones de copyright como vector de ataque representa una evolución en las tácticas de ingeniería social, combinando presión legal simulada, suplantación de identidad y técnicas avanzadas de evasión para maximizar la tasa de éxito.

### 2. Contexto del Incidente

Noodlophile, un grupo de cibercriminales con antecedentes en campañas de phishing dirigidas y robo de credenciales corporativas, ha centrado sus esfuerzos recientes en empresas europeas y norteamericanas. Desde principios de 2024, se han notificado múltiples incidentes en los que empleados reciben correos electrónicos que aparentan provenir del equipo legal de su propia empresa o de organizaciones externas de gestión de derechos (como la DMCA).

Estos correos incluyen reclamaciones de uso indebido de material protegido por derechos de autor, exigiendo una rápida respuesta bajo la amenaza de acciones legales o suspensión de servicios. El pretexto aprovecha el desconocimiento y la preocupación que suelen generar los posibles litigios por copyright, lo que incrementa la probabilidad de que las víctimas interactúen con los enlaces o archivos adjuntos maliciosos.

### 3. Detalles Técnicos

Los mensajes de spear-phishing detectados presentan una alta personalización, utilizando nombres reales de empleados y referencias a proyectos internos. El correo suele contener enlaces a dominios comprometidos o recientemente registrados, diseñados para imitar portales legales o plataformas de almacenamiento en la nube.

#### Vectores de Ataque y TTPs

– **Vector principal:** Enlaces a páginas de phishing que replican portales de login corporativos o servicios de Microsoft 365/Google Workspace.
– **Técnicas MITRE ATT&CK:**
– **T1566.001:** Phishing Spearphishing Attachment
– **T1566.002:** Spearphishing Link
– **T1204:** User Execution
– **T1110:** Brute Force (Password Spraying tras obtener credenciales).
– **Indicadores de Compromiso (IoC):**
– Dominios con typosquatting de servicios legales (ej. dmc4-notice[.]com)
– Hashes de archivos adjuntos PDF/DOCM con macros maliciosas.
– Direcciones IP asociadas a servidores C2 en Europa del Este.

#### CVE y Herramientas Utilizadas

No se ha identificado la explotación directa de CVE recientes en esta campaña. Sin embargo, se han observado cargas útiles que, una vez obtenidas las credenciales, intentan el despliegue de herramientas post-explotación como Cobalt Strike Beacon y, en fases posteriores, la instalación de puertas traseras personalizadas y scripts de exfiltración mediante PowerShell.

En algunos casos, los actores han utilizado Metasploit Framework para reconocimiento interno tras el acceso inicial, principalmente mediante módulos de enumeración de Active Directory.

### 4. Impacto y Riesgos

La campaña ha afectado ya a más de 200 organizaciones, con un porcentaje de éxito estimado del 7–9% en la obtención de credenciales válidas, según informes de varios CSIRTs europeos. El acceso inicial se utiliza tanto para robo de información confidencial como para movimiento lateral y, en ocasiones, despliegue de ransomware.

Los riesgos principales incluyen:
– Compromiso de cuentas privilegiadas.
– Robo de propiedad intelectual y datos sensibles.
– Interrupciones operativas por ataques secundarios (ransomware, wipers).
– Incumplimiento de normativas como GDPR y NIS2, con posibles sanciones económicas.

Se reportan pérdidas económicas medias de 125.000€ por incidente, considerando costes de respuesta, recuperación y sanciones regulatorias.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de estas campañas, se recomienda a los equipos de seguridad:

– **Reforzar la concienciación de usuarios** sobre este tipo de phishing, especialmente en departamentos de marketing, legal y comunicación.
– **Implementar autenticación multifactor (MFA)** en todos los accesos externos y privilegiados.
– **Monitorizar conexiones a dominios sospechosos** y aplicar listas negras actualizadas de IoC.
– **Desplegar soluciones EDR** capaces de detectar patrones de uso de Cobalt Strike, Metasploit y PowerShell anómalos.
– **Revisar los procedimientos de gestión de incidentes** para garantizar una respuesta rápida ante fugas de credenciales.
– **Configurar alertas específicas** para intentos de acceso a portales de login falsos y tráfico C2.

### 6. Opinión de Expertos

Analistas de amenazas de empresas como Group-IB y Kaspersky coinciden en que la personalización y el uso de pretextos legales marcan un salto cualitativo en la ingeniería social. “Noodlophile demuestra una comprensión profunda de la psicología empresarial y de los flujos internos de comunicación”, señala un investigador de Mandiant. Desde SANS Institute, se recalca la importancia de combinar formación interna con controles técnicos para cerrar la brecha humana.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este tipo de ataques supone un reto adicional en la gestión de la superficie de ataque humano y el cumplimiento normativo. La exposición a brechas de datos no solo genera daños reputacionales y financieros, sino que puede conllevar sanciones bajo GDPR y NIS2 en la UE, donde la protección frente a ingeniería social es ya un requisito explícito en algunos sectores regulados.

Los usuarios corporativos, especialmente quienes gestionan activos digitales, deben ser formados recurrentemente en la identificación de correos sospechosos y buenas prácticas de reporte.

### 8. Conclusiones

La campaña de spear-phishing basada en reclamaciones de copyright lanzada por Noodlophile representa una amenaza real y creciente para el tejido empresarial. La sofisticación en la personalización, la explotación del miedo a litigios y el uso de técnicas avanzadas de evasión exigen una respuesta integral que combine formación, tecnología y procesos de gestión de incidentes efectivos. La colaboración entre equipos de seguridad y la actualización continua de estrategias defensivas serán clave para minimizar el impacto de estas campañas en el futuro.

(Fuente: www.darkreading.com)