Las empresas e influencers están siendo el blanco de una nueva campaña de phishing que se apropia de sus cuentas de Instagram para luego pedirles un rescate económico. Así lo ha alertado la compañía de ciberseguridad Secureworks, que indica que descubrió estos ataques en octubre de 2021 pero que se llevan produciendo desde el pasado mes de agosto y a día de hoy todavía continúan activos.
Según Secureworks, esta campaña se aprovecha de que las organizaciones suelen centrarse en las amenazas de ciberseguridad tradicionales y secuestra cuentas corporativas de Instagram, así como perfiles de influencers que tienen un gran número de seguidores.
Cómo funciona esta campaña
Siguiendo su información, esta campaña de phishing comienza con un correo electrónico en el que los ciberdelincuentes se hacen pasar por Instagram para avisar a sus potenciales víctimas de que supuestamente han infringido los derechos de autor en alguna de sus publicaciones.
"Si no hay ninguna objeción sobre el trabajo protegido por derechos de autor, tendremos que eliminar su cuenta. Por favor complete el formulario de apelación", se lee en el mensaje, que incluye un enlace que redirige a las víctimas a una página web controlada por los cibercriminales.
A partir de ahí, se solicita a los usuarios que introduzcan la contraseña de su cuenta y, si caen en la trampa, quedarán en manos de los atacantes.
"Después de hacerse con el control de la cuenta de Instagram, los atacantes cambian la contraseña y el nombre de usuario. El nombre de usuario modificado es una variación de 'pharabenfarway' seguido de un número que parece ser el número de seguidores de la cuenta secuestrada", explica Secureworks.
"Los actores de amenazas agregan un comentario al perfil que dice 'esta cuenta de Instagram está retenida para ser vendida de nuevo a su propietario'. El comentario incluye un enlace compuesto por un dominio de WhatsApp abreviado (wa . me) y un número de contacto. Al hacer clic en el enlace, se abre un aviso de conversación de chat de WhatsApp con los actores de la amenaza. Los actores de la amenaza también se comunican con la víctima a través de un mensaje de texto al número de teléfono que figura en la cuenta y comienzan a negociar un rescate a cambio del acceso a la cuenta", agrega.
La firma de ciberseguridad señala que esta campaña está "muy extendida" y que en septiembre se detectó una publicación en un foro clandestino que vendía cuentas secuestradas de Instagram por hasta 40.000 dólares.
Quiénes son los responsables de este ataque de phishing
Secureworks también apunta que los actores de amenazas que probablemente estén detrás de esta campaña son Pharaben y Farway, quienes se identifican a sí mismos como "expertos avanzados en redes sociales y piratería informática" y proporcionan sus identificadores de Instagram junto con los números de contacto de WhatsApp. "El número de contacto de Pharaben usa un código de país ruso y el de Farway usa un código de país turco".
"Además del código de país turco, otros aspectos de esta campaña también sugieren que al menos uno de los actores de la amenaza podría estar ubicado en Turquía (…). La infraestructura asociada con esta campaña tiene su sede en Turquía y otros países".
Los peligros de esta campaña y cómo protegerse ante ella
Como conclusión a su investigación, Secureworks advierte que las organizaciones deben incluir en sus modelos de evaluación de riesgos las cuentas de redes sociales de la empresa y de los miembros del personal de alto perfil. Asimismo, recuerda que las aplicaciones móviles son un vector de ataque común y que el uso de la autenticación multifactor puede limitar el acceso no autorizado.
"Si bien la toma de control de cuentas de redes sociales puede parecer insignificante, los actores de amenazas podrían acceder a cuentas de correo electrónico u otros recursos corporativos si se reutilizaran las contraseñas. Además, los actores de amenazas podrían abusar de las cuentas secuestradas para dañar la marca de la organización como una ventaja adicional para obtener el pago de un rescate", sentencia la firma de ciberseguridad.