Pfizer es una empresa farmacéutica muy conocida que disfruta de una amplia publicidad por producir una de las pocas vacunas de ARNm disponibles actualmente contra COVID-19. Los actores de suplantación de identidad tienen como objetivo explotar marcas que son ampliamente conocidas, ya que sus posibilidades de éxito aumentan drásticamente en comparación con hacerse pasar por una entidad ficticia.
En un nuevo informe de INKY , los investigadores explican que los actores de amenazas se hacen pasar por Phizer en una campaña de correo electrónico de phishing que comenzó alrededor del 15 de agosto de 2021.
Los actores detrás de esta campaña son diligentes en sus operaciones de phishing, combinando archivos PDF “limpios” con dominios recién registrados que aparecen como espacios en línea oficiales de Pfizer. Luego, generan cuentas de correo electrónico de estos dominios para la distribución de correo electrónico de phishing para evitar las soluciones de protección de correo electrónico.
Los dominios se registraron a través de Namecheap, que acepta criptomonedas como método de pago, lo que permite a los actores permanecer en el anonimato. Algunos de los ejemplos vistos por INKY son:
- pfizer-nl [.] com
- pfizer-bv [.] org
- pfizerhtlinc [.] xyz
- pfizertenders [.] xyz
El primero, pfizer-nl [.] Com, puede engañar a alguien haciéndole creer que es el portal oficial en línea de Pfizer Holanda, un país donde la empresa tiene una oficina.
Una trampa delicada
Las líneas de asunto suelen incluir cotizaciones urgentes, invitaciones a licitar y temas relacionados con el suministro de equipos industriales.
Debido a la propagación de las nuevas variantes de COVID-19, los actores de phishing no tienen mucha dificultad para encapsular un sentido de urgencia en estos correos electrónicos. En la mayoría de los 400 ejemplos vistos por los analistas de INKY, los actores utilizan un documento PDF de tres páginas de aspecto profesional que analiza las fechas de vencimiento, las condiciones de pago y otros detalles que constituyen una solicitud legítima de cotización.
El PDF no contiene enlaces que suelten malware o URL de phishing que puedan generar banderas en las herramientas de seguridad del correo electrónico y no contiene errores tipográficos que hagan que el fraude sea obvio. Sin embargo, se solicita a los destinatarios que envíen sus cotizaciones a las direcciones de dominio de Pfizer suplantadas, como quote @ pfizerbvl [.] Com o quotation @ pfizersupplychain [.] Com .
Si bien el objetivo exacto de la campaña no está claro, el hecho de que los términos de pago estén incluidos en el PDF es una indicación de que los actores de amenazas solicitarán al destinatario que comparta sus datos bancarios en algún momento. Si se proporciona información de pago, los atacantes podrían utilizarla en futuras campañas de BEC contra los clientes de la empresa objetivo.
Al recibir correos electrónicos con solicitudes de licitación inusuales, siempre es más seguro comunicarse con la empresa a su número habitual y pedir hablar con la persona. Si la persona no trabaja en la empresa o desconoce estos correos electrónicos, puede ignorar las solicitudes y eliminar los correos electrónicos.
Ver información original en Bleeping Computer