- Los correos electrónicos de arranque falsos llegaron a 8,9 millones de direcciones en una campaña masiva de phishing
- Los piratas informáticos utilizaron un sitio web del gobierno para alojar su página fraudulenta de pago de Boot.
- Los atacantes rumanos convirtieron un servidor empresarial comprometido en una plataforma de distribución de correo electrónico
Millones de compradores del Reino Unido quedaron expuestos a una campaña de Boot falsa después de que los piratas informáticos enviaran correos electrónicos ofreciendo paquetes de muestras de belleza gratuitos a través de una campaña masiva de phishing.
La operación utilizó una encuesta de clientes falsa para recopilar datos personales y al mismo tiempo dirigir a las víctimas a un proceso de pago fraudulento solicitando información confidencial.
La campaña involucró 8.894.920 direcciones de correo electrónico e infraestructura vinculadas a actores de amenazas de habla rumana, afirmaron los investigadores de Huntress.
Una oferta de arranque falsa respaldada por una gran operación de phishing
Los correos electrónicos parecían ser de Boots y animaban a los destinatarios a completar una breve encuesta a cambio de un paquete de muestra de belleza y beneficios promocionales.
La campaña se basó en una marca familiar para que el mensaje pareciera legítimo y al mismo tiempo dirigía a los usuarios a un sitio web clonado diseñado para recopilar información.
La página falsa solicitaba detalles como nombre, dirección de correo electrónico, fecha de nacimiento, número de teléfono y domicilio antes de proporcionar información de pago.
Huntress descubrió que el contenido de phishing estaba alojado en un sitio web comprometido del gobierno boliviano perteneciente a IPELC, en lugar de en un dominio controlado por el atacante.
Colocaron el kit de phishing dentro de un directorio oculto en dominios gubernamentales legítimos para beneficiarse de su reputación existente.
La campaña de correo electrónico se envió utilizando GammaDyne Mailer, una aplicación de correo masivo legítima que los atacantes instalaron en un servidor terminal empresarial comprometido en el Reino Unido.
El servidor no se utilizó para implementar ransomware ni robar archivos de esa empresa, sino que sirvió como plataforma para enviar mensajes fraudulentos.
Los atacantes cargaron seis listas de destinatarios denominadas Dudh(1) a Dudh(6), que contenían aproximadamente 8,9 millones de direcciones de correo electrónico listas para su difusión.
Huntress recuperó un archivo de proyecto llamado dracii.mmp, que detalla la configuración de entrega de correo electrónico, enlaces de phishing y configuración de campaña.
Los sistemas comprometidos ayudaron a enviar mensajes falsos
Los investigadores descubrieron que los atacantes accedieron a servidores empresariales del Reino Unido utilizando credenciales robadas a través de un sistema de acceso remoto expuesto antes de realizar la operación de phishing.
Los servidores comprometidos permiten entonces que los mensajes se envíen directamente desde la conexión a Internet de la organización, ocultando su propia infraestructura de las listas de bloqueo.
El correo se configuró para entrega directa a MX, utilizando 666 subprocesos simultáneos sin limitación aplicada para maximizar la velocidad de envío.
Posteriormente, Huntress aisló los 25 puntos finales conectados al entorno empresarial y bloqueó 29.954 conexiones SMTP salientes en un período de 104 segundos.
La empresa también se puso en contacto con el CSIRT nacional de Bolivia después de descubrir que el sitio web del gobierno había sido comprometido y estaba siendo utilizado para albergar material de phishing.
Los archivos recuperados sugieren que la campaña de Boots fue parte de una operación más amplia que involucra temas relacionados con los impuestos y otros temas centrados en el Reino Unido, incluidos mensajes sobre criptomonedas.
El mismo conjunto de herramientas parece haber sido reutilizado en múltiples sistemas comprometidos desde julio de 2025.
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
