Una nueva campaña de ataque de phishing, dirigida a usuarios de Mac e identificada por LayerX Labs, muestra las dificultades y dificultades de combatir el phishing en línea y cómo los ataques se transforman y cambian en respuesta a las adaptaciones de las herramientas de seguridad.

Durante los últimos meses, LayerX ha estado monitoreando una sofisticada campaña de phishing dirigida inicialmente a usuarios de Windows, haciéndose pasar por alertas de seguridad de Microsoft. El objetivo de la campaña era robar credenciales de usuario mediante tácticas engañosas que hacían creer a las víctimas que sus equipos estaban comprometidos.

Ahora, con las nuevas funciones de seguridad lanzadas por Microsoft, Chrome y Firefox, los atacantes han desplazado su atención hacia los usuarios de Mac.

Acto I: Dirigido a los usuarios de Windows

El ataque de phishing original se basaba en sitios web comprometidos que mostraban advertencias de seguridad falsas que afirmaban que el ordenador del usuario había sido comprometido y bloqueado. Los atacantes solicitaban a los usuarios que ingresaran su nombre de usuario y contraseña de Windows. Simultáneamente, un código malicioso bloqueaba la página web, creando la ilusión de que el ordenador estaba bloqueado.

 

LayerX tiene Anteriormente escrito sobre esta campaña de nuestro blog.

Por qué fue difícil detener esta campaña:

  1. Alojado en una plataforma Microsoft Las páginas de phishing estaban alojadas en la plataforma Windows.net de Microsoft (una plataforma abierta de Microsoft para alojar aplicaciones de Azure). En el contexto del ataque, esto hizo que los mensajes parecieran legítimos, ya que eran advertencias de seguridad (supuestamente) de Microsoft, provenientes de una página en un dominio windows[.]net.
  2. Explotación de servicios de alojamiento Otra táctica común empleada por los atacantes en este caso fue usar un servicio de alojamiento confiable como infraestructura subyacente para páginas maliciosas. Esto se debe a que las defensas antiphishing tradicionales, como las puertas de enlace web seguras (SWG) y las soluciones de seguridad de correo electrónico, suelen evaluar el riesgo de la página en función de la reputación del dominio de nivel superior (TLD). En este caso, el TLD (windows[.]net) es una plataforma conocida y muy utilizada por un proveedor de renombre (Microsoft), con una alta puntuación de reputación de TLD. Como resultado, estas páginas lograron eludir los mecanismos de protección tradicionales.
  3. Subdominios aleatorios que cambian rápidamente Bajo el dominio general de nivel superior windows[.]net, los atacantes distribuían su código malicioso desde subdominios aleatorios que cambiaban rápidamente. Esto significaba que, incluso si una página en particular se marcaba como maliciosa y se incluía en feeds de páginas maliciosas, se eliminaba rápidamente y se reemplazaba por otra URL con una reputación limpia. Debido a la alta aleatoriedad de las URL de los subdominios, los atacantes podían repetir este proceso una y otra vez, manteniendo el ataque activo.
  4. Diseño altamente sofisticado – A diferencia de las páginas de phishing típicas, estas estaban bien diseñadas, eran profesionales y se actualizaban con frecuencia para evitar ser detectadas por herramientas de seguridad que se basan en firmas de phishing conocidas.
  5. Tecnologías anti-bots y CAPTCHA En algunas variantes, LayerX observó que el código de la página incluía verificación anti-bots y CAPTCHA. Esto se hizo para informar a los rastreadores web automatizados sobre las protecciones antiphishing y retrasar la clasificación de la página como maliciosa.

El resultado fue una campaña sofisticada, altamente efectiva y de larga duración. LayerX la ha seguido durante más de un año. Sin embargo, a finales de 2024 y principios de 2025, observamos un aumento en la intensidad y el volumen de esta campaña, lo que demuestra su eficacia.

Microsoft también se dio cuenta de esto y, en febrero de 2025, introdujo una nueva función anti-scareware en el navegador Edge para combatir estos ataques. Casi al mismo tiempo, se implementaron protecciones similares en Chrome y Firefox.

Acto II: Las nuevas protecciones hacen inútil la antigua campaña

Tras la introducción de estas protecciones del navegador, LayerX observó una drástica caída del 90% en los ataques dirigidos a Windows.

LayerX seguía observando páginas maliciosas similares, lo que significa que la infraestructura de la campaña seguía activa. Sin embargo, los usuarios no la accedían.
Atribuimos esta caída a las nuevas funciones "anti-scareware" de Microsoft (y otros), que estaban bloqueando estos ataques.

Acto III: La campaña se transforma para dirigirse a los usuarios de Mac

Sin embargo, parece que LayerX no fue el único que observó una caída en la tasa de éxito de los ataques: los piratas informáticos detrás de él también lo notaron.

Su respuesta: modificar la campaña para apuntar a un grupo de usuarios desprotegidos; en este caso: usuarios de Mac.

Dos semanas después de que Microsoft implementara las nuevas defensas antiphishing, LayerX comenzó a observar ataques contra usuarios de Mac, quienes, aparentemente, no estaban cubiertos por estas nuevas defensas.

 

Antes de esto, LayerX no había observado ataques en Mac, sino sólo contra usuarios de Windows.

Los nuevos intentos de phishing fueron visualmente casi idénticos a los ataques dirigidos a los usuarios de Windows, a excepción de algunas modificaciones críticas:

  • Diseño de la página de phishing y mensajes rediseñados para parecer legítimo para los usuarios de Mac.
  • Ajustes de código para apuntar específicamente a usuarios de macOS y Safari aprovechando los parámetros del agente de usuario y del sistema operativo HTTP.
  • Uso continuado de la infraestructura Windows[.]net, manteniendo la ilusión de legitimidad.

Cómo se atrajo a las víctimas

La investigación de LayerX reveló que las víctimas fueron redirigidas a las páginas de phishing a través de páginas de "estacionamiento" de dominios comprometidos:

  1. La víctima intentó acceder a un sitio web legítimo.
  2. Un error tipográfico en la URL los llevó a una página de estacionamiento de dominio comprometida.
  3. La página los redirigió rápidamente a través de múltiples sitios antes de aterrizar en la página del ataque de phishing.

En un caso específico, la víctima era un usuario de macOS y Safari que trabajaba para un cliente empresarial de LayerX. A pesar de que la organización utilizaba una Puerta de Enlace Web Segura (SWG), el ataque la eludió. Sin embargo, el sistema de detección basado en IA de LayerX, que analiza las páginas web mediante más de 250 parámetros a nivel de navegador, identificó y bloqueó la página maliciosa antes de que se produjera daño alguno.

Acto IV: La batalla continúa

Los nuevos ataques dirigidos a Mac requirieron modificaciones relativamente mínimas por parte de los piratas informáticos de su infraestructura existente: principalmente cambios de texto y algunos cambios de código para apuntar a los usuarios de MacOS y Safari.

Esta campaña de ataques subraya dos puntos críticos:

  1. Los usuarios de Mac y Safari son ahora objetivos principales – Si bien ya han existido campañas de phishing dirigidas a usuarios de Mac, rara vez han alcanzado este nivel de sofisticación.
  2. Los ciberdelincuentes son muy adaptables – A medida que evolucionan las medidas de seguridad, los atacantes continúan modificando sus tácticas, lo que demuestra que las organizaciones necesitan soluciones de seguridad avanzadas y proactivas.

Basándonos en la longevidad, complejidad y sofisticación mostradas hasta el momento por los actores detrás de esta campaña de ataque, sospechamos que esta es sólo una primera respuesta de ellos, mientras adaptan sus ataques a nuevas defensas.

Nuestra predicción es que en las próximas semanas o meses veremos una ola resurgimiento de ataques basados ​​en esta infraestructura mientras investiga y prueba puntos débiles en las nuevas defensas de Microsoft.

Este es sólo el último recordatorio de que prevenir el phishing y los ataques web es una batalla continua y sin fin.

Hasta el próximo capítulo…