Aumento global de campañas SMS phishing: PointyPhish y TollShark bajo la lupa
En los últimos meses, se ha registrado un incremento significativo en ataques de phishing basados en mensajes SMS (smishing), según el informe de CTM360. Estas campañas, identificadas como PointyPhish y TollShark, utilizan la plataforma Darcula PhaaS (Phishing-as-a-Service) para desplegar más de 5,000 dominios fraudulentos a nivel mundial, diseñados para robar información financiera de las víctimas.
Metodología técnica de las campañas
Los actores de amenazas detrás de estas operaciones emplean técnicas avanzadas para evadir detección:
- Dominios legítimos comprometidos: Utilizan sitios web previamente vulnerados para alojar páginas de phishing, dificultando el bloqueo por parte de los filtros tradicionales.
- Personalización dinámica: Los mensajes SMS incluyen detalles específicos del país objetivo, como nombres de empresas locales o terminología regional, aumentando su credibilidad.
- Redireccionamientos en cadena: Implementan múltiples saltos entre servidores antes de llegar al destino final, complicando el rastreo.
Infraestructura Darcula PhaaS
La plataforma Darcula opera bajo un modelo de suscripción, permitiendo a actores con pocos conocimientos técnicos lanzar campañas sofisticadas. Sus características incluyen:
- Panel de control centralizado para gestionar múltiples campañas.
- Plantillas preconfiguradas que simulan servicios conocidos (paquetería, bancos, peajes electrónicos).
- Integración con APIs de SMS para distribución masiva.
- Sistemas de rotación automática de dominios para evitar blacklists.
Indicadores de Compromiso (IOCs) clave
Algunos patrones detectados en estas campañas incluyen:
- URLs con estructuras como “[servicio]-[id].com” o variantes similares.
- Certificados SSL emitidos para dominios recientemente registrados.
- Direcciones IP asociadas a proveedores de hosting bulletproof.
Medidas de mitigación recomendadas
Para organizaciones y usuarios finales:
- Implementar soluciones de filtrado SMS con capacidades de análisis de comportamiento.
- Capacitar a los empleados en reconocimiento de mensajes sospechosos, especialmente aquellos que solicitan acciones urgentes.
- Utilizar autenticación multifactor (MFA) para todas las cuentas sensibles.
- Monitorear registros DNS para detectar typosquatting o dominios similares a los legítimos.
Este caso subraya la creciente profesionalización del cibercrimen, donde herramientas como Darcula PhaaS reducen significativamente la barrera de entrada para actores maliciosos. La colaboración entre equipos de seguridad, reguladores y proveedores de telecomunicaciones será clave para contener esta tendencia.
