Barracuda full logo

Radar de amenazas de correo electrónico – Junio de 2025

Temas:
10 jun 2025
|

Durante el mes de mayo, los analistas de amenazas de Barracuda identificaron varias amenazas notables basadas en correo electrónico dirigidas a organizaciones de todo el mundo y diseñadas para evadir la detección y aumentar las posibilidades de éxito, entre ellas:

  • El kit de phishing EvilProxy está resurgiendo con nuevos ataques y tácticas, tales como:
    • Spoofing de la plataforma de empleo de Upwork
    • Envío de advertencias falsas de seguridad de Microsoft 365
    • Ataques de estafa de facturas con archivos adjuntos estratificados para mayor engaño
  • Ataques de phishing con temática hotelera que utilizan la técnica de ingeniería social ClickFix, popularizada por actores de amenazas de estados nacionales.

EvilProxy resurge con nuevas tácticas, haciendo spoofing de una popular plataforma de empleo y enviando advertencias falsas de Microsoft 365

Instantánea de Amenaza

EvilProxy, un proveedor líder de Phishing como Servicio (PhaaS) que fue prolífico a principios de 2025, ha resurgido con una serie de tácticas innovadoras diseñadas para engañar a los usuarios para que hagan clic en enlaces y compartan credenciales. El primero de estos es una oleada de ataques de phishing que realiza spoofing a la plataforma de empleo de confianza Upwork para enviar notificaciones de pago falsas.

Suplantación de la plataforma freelance Upwork

Los ataques comienzan con un correo electrónico de apariencia legítima que afirma notificar al autónomo que ha recibido el pago por un trabajo reciente. Para aumentar la credibilidad, el correo electrónico simula provenir de un cliente confiable de Upwork.

Hay un enlace en el cuerpo del correo electrónico que invita al destinatario a ver los detalles del pago. 

Ejemplo de un ataque por correo electrónico que suplanta la identidad de UpWork

Este enlace les dirige a una página de ShareFile donde se les presenta otro enlace.

Si el objetivo hace clic en este enlace, se le lleva a una página de «verificación» para «demostrar» que no es un bot. Este paso adicional tiene como objetivo hacer que el proceso parezca más legítimo y animar a la víctima a continuar. 

Verificación falsa de seguridad

A continuación, se redirige a la víctima a una pantalla de inicio de sesión falsa diseñada para robar sus credenciales de Microsoft, otorgando a los atacantes acceso a sus cuentas personales y datos sensibles.

Un nuevo giro en la típica «estafa de facturas» que involucra archivos adjuntos en capas

Otro conjunto de ataques de EvilProxy investigados por los analistas de amenazas de Barracuda el mes pasado consistió en estafas de facturas que guiaban a las víctimas a través de múltiples archivos adjuntos, cada uno de los cuales las alejaba más de la protección.

Nota de remisión falsa
Estos ataques comienzan con un mensaje que parece una confirmación de pago legítima e incluye un archivo .msg adjunto. El archivo adjunto .msg afirma ser una nota de remesa e incluye una imagen incrustada que está disfrazada como un archivo adjunto PDF. Cuando el usuario desprevenido hace clic en la imagen, se le redirige a través de un enlace malicioso a una página de verificación de Cloudflare Turnstile.
Verificación falsa de remesas

La verificación de Turnstile dificulta que las herramientas de seguridad automatizadas detecten el sitio de phishing de EvilProxy al que se dirige el usuario después de pasar la verificación de Turnstile. La página de phishing está diseñada para robar las credenciales de inicio de sesión de la víctima.

Alertas de seguridad falsas de Microsoft 365

Los analistas de amenazas también encontraron que EvilProxy enviaba correos electrónicos de phishing disfrazados de alertas de inicio de sesión de Microsoft 365. Estas alertas fingen provenir de proveedores de seguridad conocidos y de confianza.

En la campaña observada por los analistas de amenazas de Barracuda, los atacantes enviaron una serie de correos electrónicos con un cuerpo de texto coherente, pero con tres líneas de asunto diferentes. Esta táctica es frecuentemente utilizada por estafadores para permitir que los ataques continúen después de que las herramientas de seguridad hayan detectado y bloqueado una de las líneas de asunto.

Alerta falsa de seguridad de Microsoft 365

El correo electrónico advierte a los destinatarios de que necesitan bloquear urgentemente una dirección IP específica que intenta repetidamente iniciar sesión en su cuenta, una táctica común para crear una sensación de urgencia y la necesidad de actuar con rapidez.

El correo electrónico lleva un enlace incrustado en el que los usuarios deben hacer clic para bloquear la IP. Este enlace les lleva a una página de inicio de sesión falsa de Microsoft, diseñada para robar sus credenciales de inicio de sesión.

Los estafadores engañan a los usuarios para que se ataquen a sí mismos utilizando la técnica ClickFix

Instantánea de Amenaza

ClickFix es una táctica de social engineering popular entre los actores de amenazas de los estados nacionales y ahora entre las bandas de phishing. Implica engañar a las víctimas para que crean que hay un problema con algo que están intentando hacer. Hay un mensaje de error o aviso que indica a los usuarios que pueden solucionar el problema copiando y pegando algunos comandos en un cuadro de diálogo de Windows. Estos comandos permiten a los atacantes ejecutar comandos maliciosos en el ordenador de la víctima.

Las estafas de phishing de ClickFix no requieren que los objetivos abran documentos infectados ni hagan clic en enlaces maliciosos. Se basan en engañar a los usuarios para que ellos mismos añadan comandos maliciosos, lo que dificulta que los sistemas de seguridad automatizados detecten estos ataques.

Los ejemplos recientes vistos por Barracuda reflejan aquellos vistos en otros lugares, dirigidos a organizaciones del sector hotelero que se hacen pasar por alguien llamado «David» que había reservado una habitación de hotel a través de Booking.com pero nunca recibió confirmación. 

Ejemplo de estafa de phishing de ClickFix

Los correos electrónicos utilizan un lenguaje emotivo para solicitar al destinatario que haga clic en un enlace para verificar la reserva antes de que el cliente pierda dinero. Para que el correo electrónico parezca aún más auténtico, incluye la firma "Enviado desde iPhone".

Los analistas de amenazas de Barracuda han investigado dos variantes del ataque.

En la primera variante, cuando los usuarios hacen clic en el enlace, son llevados a una página que parece una verificación estándar de «No soy un robot».

Verificación de robots falsos
Ejemplo de código de un ataque de phishing

Se les pide que sigan unas sencillas instrucciones: pulse la tecla de Windows + R, luego Ctrl + V para pegar un comando y pulse Enter. Hay un botón "Verify" estratégicamente colocado que copia de manera silenciosa un comando malicioso en el portapapeles de la víctima. Cuando los usuarios siguen los pasos según las instrucciones, ejecutan ese comando sin darse cuenta. Esto descarga y ejecuta de manera silenciosa malware en segundo plano, otorgando a los atacantes acceso al sistema de la víctima sin signos evidentes de compromiso.

Entre otras cosas, los atacantes instalan scripts maliciosos que pueden robar información sensible o instalar malware adicional.

En la segunda variante del ataque, no hay botón "Verificar". En su lugar, la página muestra una casilla de verificación sencilla como un CAPTCHA típico. Cuando los usuarios hacen clic en la casilla de verificación, se muestra una breve animación de carga, lo que hace que parezca un proceso de verificación auténtico. Sin embargo, en segundo plano, la página copia de manera silenciosa un comando malicioso al portapapeles del usuario sin que este lo sepa.

El comando utiliza una herramienta integrada de Windows que ejecuta un archivo de aplicaciones HTML (HTA). Aunque su propósito es legítimo, los atacantes a menudo explotan estos archivos para ejecutar scripts maliciosos. En los incidentes observados por Barracuda, estos archivos se conectan a una URL que probablemente contiene un archivo HTA malicioso o un script diseñado para ejecutar código en el sistema de la víctima.

En ambos casos, el objetivo de los atacantes es entregar y ejecutar código malicioso con la mínima interacción del usuario, utilizando componentes de confianza de Windows para eludir el software de seguridad y comprometer silenciosamente el sistema.

Cómo Barracuda Email Protection puede ayudar a su organización

Barracuda Email Protection ofrece un conjunto completo de funciones diseñadas para defenderse contra amenazas avanzadas de correo electrónico.

Incluye capacidades como correo electrónico Gateway Defense, que protege contra Phishing y Malware, y protección contra la suplantación de identidad, que protege contra ataques Social Engineering.

Además, incluye IncidentResponse y Domain Fraud Protection para mitigar los riesgos asociados con cuentas comprometidas y dominios fraudulentos. El servicio también incluye Cloud-to-Cloud Backup y Security Awareness Training para mejorar la postura general de seguridad del correo electrónico.

BARRACUDA combina la inteligencia artificial y la integración profunda con Microsoft 365 para proporcionar una solución integral basado/a en la nube que protege contra ataques de Phishing y suplantación (de identidad) hiperdirigidos potencialmente devastadores.

Más información disponible aquí.

Obtén una seguridad completa del correo electrónico con tecnología de IA
Publicaciones relacionadas:
Una nueva investigación empresarial global muestra cómo la proliferación de la seguridad aumenta el riesgo
Una nueva investigación empresarial global muestra cómo la proliferación de la seguridad aumenta el riesgo
 Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
 Cl0p ransomware: El invasor sucio que muerde mientras duermes
Cl0p ransomware: El invasor sucio que muerde mientras duermes
 Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.