Una nueva y sofisticada campaña de phishing está apuntando a contratistas del gobierno de EE. UU.

Recientes investigaciones han descubierto un nuevo esquema de phishing llamado "Uncle Scam" que está dirigido a contratistas en busca de empleo con el gobierno de Estados Unidos. Este método engañoso se caracteriza por el uso de correos electrónicos sofisticados, diseñados mediante modelos de lenguaje como LLMs, que logran evadir las verificaciones de seguridad y parecen extremadamente convincentes.

Los atacantes emplean herramientas avanzadas, incluidos kits de phishing potenciados por inteligencia artificial y la plataforma Microsoft Dynamics 365, para implementar ataques complejos que se desarrollan en múltiples etapas. La campaña comienza con un correo electrónico que parece proceder de una agencia gubernamental legítima, como la Administración de Servicios Generales (GSA). Este mensaje invita a los destinatarios a presentar ofertas para proyectos federales, imitando notificaciones de adquisición auténticas. Sin embargo, al hacer clic en el enlace incluido en el correo, el usuario es redirigido a un sitio web falso de la GSA que se asemeja mucho al auténtico.

Los atacantes han hecho un esfuerzo significativo por replicar el sitio oficial, incluyendo vínculos de navegación y una barra de búsqueda que desvían a los usuarios a páginas legítimas de la GSA. El dominio genuino de la GSA es www.gsa.gov, mientras que el dominio fraudulento podría tener una estructura similar a “gsa-gov-dol-procurement-notice(.)procure-rfq(.)online”. Una vez en el sitio de phishing, los usuarios deben registrarse para la solicitud de cotización (RFQ), proporcionando su correo electrónico y otros datos. Este paso adicional no es únicamente para aparentar, sino que busca hacer el engaño más creíble y evadir la detección. Además, los atacantes incluyen una página CAPTCHA, complicando aún más la tarea de los mecanismos de seguridad automatizados.

Uno de los factores que contribuye a la efectividad de esta campaña de phishing es el abuso de la plataforma de marketing Dynamics 365 de Microsoft. Los atacantes utilizan el dominio "dyn365mktg.com", que está asociado con Dynamics 365, para enviar sus correos electrónicos maliciosos. Dado que este dominio está preautenticado por Microsoft y cumple con los estándares DKIM y SPF, los correos de phishing tienen más probabilidad de eludir los filtros de spam y llegar a las bandejas de entrada de los destinatarios desprevenidos. Esta credibilidad inherente, combinada con la alta tasa de entregabilidad de los correos desde este dominio, hace que el intento de phishing parezca legítimo y aumenta sus probabilidades de éxito.

Además, el uso de LLMs permite a los atacantes crear correos de phishing de alta calidad y contextualmente precisos que imitan el tono y la estructura de comunicaciones reales, lo que los hace gramaticalmente correctos y con un tono profesional. Los modelos avanzados facilitan que los hackers escalen sus esfuerzos de phishing de manera eficiente, generando múltiples versiones del mismo correo con ligeras diferencias. Esta capacidad de diversificación asegura que cada mensaje sea único pero mantenga una calidad constante, lo que dificulta que las víctimas identifiquen el engaño.

Para protegerse contra ataques de phishing como el "Uncle Scam", se recomienda adoptar medidas preventivas. Entre ellas, se sugiere verificar cuidadosamente la dirección del remitente, pasar el cursor sobre los enlaces antes de hacer clic para confirmar su autenticidad, y estar alerta ante cualquier error gramatical o inconsistencias en el contenido del correo. Implementar herramientas de detección avanzadas y educar a los empleados sobre cómo identificar tales correos es también esencial para salvaguardar la organización. La vigilancia constante es clave, especialmente ante comunicaciones que parezcan demasiado buenas para ser verdad.

La evolución de las tácticas utilizadas por los cibercriminales es evidente en esta campaña de phishing. Los hackers han desarrollado operaciones engañosas de alta calidad y que son difíciles de detectar, aprovechando plataformas confiables como Microsoft Dynamics 365 y herramientas de inteligencia artificial. No obstante, con una vigilancia adecuada y medidas proactivas, las organizaciones pueden protegerse de estas amenazas.