AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Usuarios de Grubhub, objetivo de campaña de phishing con promesas falsas de multiplicar Bitcoin

admin

Introducción

Durante la última semana, diversos usuarios de Grubhub han reportado la recepción de mensajes fraudulentos supuestamente enviados desde direcciones de correo electrónico corporativas de la propia compañía. Estos mensajes prometían a los destinatarios la multiplicación por diez del importe de cualquier transferencia de Bitcoin realizada a una cartera especificada en el correo. El incidente pone de relieve la sofisticación creciente de las campañas de phishing dirigidas a grandes plataformas y plantea interrogantes sobre posibles brechas de seguridad en los sistemas de correo electrónico corporativo.

Contexto del Incidente

Grubhub, plataforma líder en el sector de la entrega de comida a domicilio en Estados Unidos, cuenta con una base de millones de usuarios registrados y maneja diariamente datos personales y financieros de alto valor. El incidente se detectó cuando varios usuarios comenzaron a compartir en redes sociales capturas de correos recibidos desde dominios legítimos de Grubhub (por ejemplo, “@grubhub.com”), lo que amplificó la alarma sobre un posible compromiso interno o suplantación avanzada.

Las investigaciones iniciales sugieren dos vectores plausibles: un ataque de compromiso de correo electrónico corporativo (BEC, por sus siglas en inglés) o bien el abuso de un sistema de envío de notificaciones legítimo, aprovechando configuraciones incorrectas de SPF, DKIM o DMARC. El mensaje fraudulento, lejos de ser un típico spam mal redactado, presentaba una redacción cuidada y un formato visual coherente con las comunicaciones habituales de Grubhub, lo que dificultó su identificación por parte de los usuarios.

Detalles Técnicos del Ataque

Si bien hasta la fecha no se ha asignado un CVE específico al incidente, el análisis preliminar revela elementos técnicos de interés:

– Vector de ataque: Phishing dirigido mediante correo electrónico, con spoofing del dominio legítimo.
– TTPs (MITRE ATT&CK):
– T1566.001 (Spearphishing Attachment)
– T1586.002 (Compromise of legitimate accounts)
– T1192 (Spearphishing via Service)
– IoC (Indicadores de Compromiso):
– Direcciones de correo legítimas de Grubhub utilizadas para el envío.
– Wallets de Bitcoin únicas por campaña; se han identificado al menos tres direcciones distintas asociadas.
– Dominios externos de seguimiento incrustados en los hipervínculos del mensaje.
– Herramientas y frameworks: Se sospecha del uso de kits de phishing personalizados, aunque no se ha detectado la utilización directa de frameworks conocidos como Metasploit o Cobalt Strike en esta fase inicial.
– Versiones afectadas: No se trata de una vulnerabilidad de software sino de un abuso del canal de correo corporativo.

Impacto y Riesgos

El principal impacto directo es la potencial pérdida económica para usuarios que, engañados por la legitimidad aparente del mensaje y la promesa de beneficios rápidos, hayan transferido Bitcoin a las carteras indicadas. Dado que las transferencias de criptomonedas son irreversibles, la recuperación de fondos es improbable.

Desde el punto de vista corporativo, el incidente compromete la confianza de los usuarios en la marca y puede desencadenar investigaciones regulatorias, especialmente bajo marcos como el GDPR o la Ley de Privacidad del Consumidor de California (CCPA), dado el posible acceso no autorizado a sistemas internos o datos personales.

Además, la utilización de cuentas o sistemas legítimos de Grubhub para el envío de estos mensajes podría indicar una brecha de seguridad interna aún no identificada, abriendo la puerta a ataques más sofisticados o persistentes.

Medidas de Mitigación y Recomendaciones

Para usuarios:
– Desconfiar de cualquier mensaje que prometa ganancias inmediatas, especialmente si solicita transferencias de criptomonedas.
– Verificar siempre la autenticidad de las comunicaciones accediendo directamente a la web oficial, evitando hacer clic en enlaces recibidos por correo.
– Reportar cualquier mensaje sospechoso al equipo de soporte de Grubhub.

Para empresas:
– Revisar y reforzar las políticas de autenticación de correo electrónico (SPF, DKIM, DMARC) para evitar el spoofing.
– Monitorizar el uso de cuentas corporativas y sistemas de notificación automatizada.
– Realizar auditorías internas periódicas para detectar posibles accesos no autorizados o uso indebido de recursos.
– Impulsar campañas de concienciación sobre phishing entre empleados y usuarios.
– Implementar mecanismos de respuesta ante incidentes orientados a la revocación rápida de accesos y contención de daños.

Opinión de Expertos

Especialistas en ciberseguridad han destacado la creciente profesionalización de las campañas de phishing y el uso de ingeniería social avanzada para explotar la confianza de los usuarios en marcas reconocidas. “El hecho de que los correos provengan de dominios legítimos multiplica la tasa de éxito de estos ataques”, señala María Sánchez, analista SOC en una multinacional financiera. Añade: “La clave está en la defensa en profundidad y en la verificación continua de los controles de autenticación y monitorización de actividad anómala”.

Implicaciones para Empresas y Usuarios

Este incidente subraya la necesidad de que las empresas refuercen no solo sus sistemas técnicos, sino también sus procesos internos y la capacitación de sus empleados en la detección y respuesta ante amenazas emergentes. Para los usuarios, se refuerza la importancia de adoptar una postura de escepticismo ante ofertas inusitadas y de utilizar canales oficiales para cualquier consulta o operación financiera.

Conclusiones

El ataque de phishing dirigido a usuarios de Grubhub, aprovechando cuentas o sistemas de correo corporativos, representa una amenaza significativa tanto para la seguridad financiera de los usuarios como para la reputación y cumplimiento normativo de la empresa. La sofisticación del ataque y la dificultad para distinguir los mensajes fraudulentos de los legítimos demuestran la necesidad de estrategias de defensa en profundidad y de una cultura de ciberhigiene sólida tanto en organizaciones como entre usuarios finales.

(Fuente: www.bleepingcomputer.com)