Barracuda full logo

Radar de Amenazas de Correo Electrónico – Julio 2025

Temas:
24 jul 2025
|
Threat Analyst Team

Durante julio, los analistas de amenazas de Barracuda identificaron varias amenazas notables por correo electrónico dirigidas a organizaciones de todo el mundo. Muchas de ellas aprovecharon kits populares de phishing como servicio (PhaaS). Las amenazas incluyen:

  • Tycoon PhaaS suplantando el Autodesk Construction Cloud para un ataque de phishing de credenciales
  • Una estafa de violación de peaje falsa dirigida a conductores en los EE. UU.
  • Phishing correos electrónicos que imitan el servicio de Mensaje Seguro de Zix
  • EvilProxy ataques suplantando a RingCentral
  • Kit de phishing Gabagool que explota herramienta de productividad empresarial con PDF tóxico
  • Ataques de phishing que combinan las marcas Copilot y SharePoint
  • LogoKit ataques de robo de credenciales utilizando el servicio de correo web Roundcube
  • Enlaces de Tycoon distribuidos como descargas de documentos

Ataques de phishing que abusan de Autodesk Construction Cloud

Instantánea de amenazas:

Los analistas de amenazas de Barracuda han observado que los atacantes abusan de Autodesk Construction Cloud para llevar a cabo ataques de phishing sofisticados. Autodesk Construction Cloud es un conjunto de herramientas de colaboración en línea para personas que trabajan en proyectos de construcción, desde el diseño y la construcción hasta la gestión de proyectos y la presupuestación.

En los ataques observados por Barracuda, los atacantes suplantan a un ejecutivo de confianza y envían notificaciones de proyectos con apariencia oficial a través de Autodesk. Las notificaciones llevan a los destinatarios a una página alojada en Autodesk que contiene un archivo ZIP aparentemente inofensivo.

Un ejemplo de un ZIP que contiene un archivo HTML que inicia el intento de phishing

El archivo ZIP contiene un archivo HTML que inicia el intento de phishing.

Abrir el archivo HTML muestra una pantalla de verificación CAPTCHA falsa, una técnica común en el phishing porque aporta credibilidad al ataque y ayuda a eludir la detección de seguridad automatizada. Luego, se solicita al usuario que ingrese las credenciales de inicio de sesión de Microsoft en una página convincentemente falsificada.

Ejemplo de una página de inicio de sesión falsa de Microsoft utilizada en estos ataques

Esta campaña emplea el kit de phishing Tycoon 2FA, que está diseñado para imitar el inicio de sesión de Microsoft y puede eludir las protecciones de autenticación de dos factores.

Los atacantes apuntan a los usuarios de carreteras de EE. UU. con una nueva estafa de peaje

Instantánea de amenazas:

Una nueva estafa de phishing está apuntando a conductores en EE.UU. con avisos falsos sobre peajes impagos. Las víctimas reciben mensajes urgentes a través de mensajes de texto, correo electrónico o llamadas telefónicas, que a menudo parecen provenir de agencias de peaje legítimas. Estos mensajes afirman que el destinatario debe una tarifa y amenazan con la suspensión de la cuenta o acciones legales si no se realiza el pago de inmediato.

Ejemplo de un correo electrónico de phishing que suplanta a una agencia de peaje
Los mensajes contienen enlaces a sitios web falsos que solicitan datos confidenciales, como números de matrículas y detalles de tarjetas de crédito. Los estafadores luego recogen esta información para obtener beneficios financieros o para el robo de identidad.
Ejemplo de sitio web falso utilizado en una estafa de peaje

Las tácticas que incluyen urgencia y marca oficial presionan a los destinatarios a actuar sin verificar la legitimidad del mensaje, haciendo que esta estafa sea altamente efectiva.

Campaña de phishing que suplanta el Zix Secure Message Center

Instantánea de amenazas:

Esta campaña imita el Zix Secure Message Center, un servicio de correo electrónico cifrado que es popular entre las organizaciones de los sectores de salud, financiero, legal y gubernamental.

Las víctimas reciben un correo electrónico sobre un supuesto mensaje seguro, con un enlace para hacer clic y verlo. El enlace lleva a los usuarios a una página falsa de Zix donde se les pide que ingresen su correo electrónico. Luego, son redirigidos a una página de inicio de sesión fraudulenta de Microsoft diseñada para robar credenciales.

Correo electrónico falso sobre un mensaje seguro en Zix
La campaña es efectiva porque replica de cerca los flujos de trabajo y la marca reales de Zix, lo que dificulta que los destinatarios detecten el engaño. Las organizaciones que utilizan servicios de cifrado de correo electrónico como Zix y Microsoft 365 están particularmente en riesgo.
Ejemplo de notificación utilizada en la campaña de suplantación de Zix

EvilProxy ataque de buzón de voz falso suplantando RingCentral

Instantánea de amenazas:

Los analistas de amenazas de Barracuda han observado un ataque de phishing sofisticado que utiliza alertas de buzón de voz falsas para engañar a las víctimas y hacer que ingresen sus credenciales en sitios maliciosos.

Correo electrónico de phishing que suplanta una notificación de buzón de voz de RingCentral

Haciéndose pasar por RingCentral, una popular plataforma de comunicaciones y colaboración empresarial basada en la nube, los atacantes envían correos electrónicos convincentes sobre un 'nuevo buzón de voz', completos con detalles personalizados. Al hacer clic en el botón de reproducción, se inicia una serie de redirecciones: comenzando con una plataforma de boletines de confianza (Beehiiv), seguida de un alojamiento en la nube legítimo (Linode) y, finalmente, un paso de verificación en glitch.me.

Estos pasos ayudan al ataque a evadir la detección y añadir credibilidad. El destino es una página de phishing que utiliza el kit EvilProxy PhaaS, diseñado para capturar credenciales de Microsoft, incluso eludiendo controles de seguridad comunes. Este enfoque multinivel hace que el ataque sea difícil de detectar y altamente efectivo.

En resumen

Kit de phishing Gabagool explota la herramienta de productividad empresarial con PDFs tóxicos

Instantánea de amenazas:

Gabagool es un kit de PhaaS sofisticado conocido por su sigilo y efectividad, y por apuntar a empleados corporativos y gubernamentales con tácticas avanzadas de robo de credenciales. Los analistas de amenazas de Barracuda han detectado atacantes utilizando Gabagool y la funcionalidad de compartición de archivos de la herramienta de productividad empresarial Notion.com para distribuir archivos PDF maliciosos que contienen enlaces de phishing. Los PDFs conducen a páginas de phishing diseñadas para robar credenciales de usuario. Al aprovechar una plataforma de confianza y PDFs aparentemente inofensivos, los atacantes aumentan las posibilidades de eludir los controles de seguridad estándar.

Agrupación de las marcas Copilot y SharePoint para phishing

Instantánea de amenazas:

Los cibercriminales están combinando la marca de Microsoft SharePoint y Copilot en esquemas de phishing, creando correos electrónicos que parecen alertas genuinas de 'Documento compartido' de cuentas internas o de proveedores. Estos mensajes animan a los destinatarios a hacer clic en enlaces que llevan a páginas de inicio de sesión de Microsoft hábilmente falsificadas. La campaña tiene como objetivo organizaciones que dependen de las herramientas de Microsoft, con el propósito de recolectar credenciales de inicio de sesión de empleados desprevenidos.

LogoKit admite el robo de credenciales utilizando el servicio de correo web Roundcube

Instantánea de amenazas:

Esta campaña de phishing apunta a los usuarios del cliente de correo web de código abierto gratuito Roundcube con alertas falsas de expiración de contraseña, advirtiendo que sus contraseñas expirarán en 48 horas a menos que se tomen medidas. El mensaje incluye un enlace, supuestamente para retener la contraseña actual, pero lleva a un sitio de phishing construido utilizando el conjunto de herramientas LogoKit. Aquí, se solicita a los usuarios que ingresen sus credenciales, que luego son capturadas por los atacantes.

Enlace de Tycoon PhaaS distribuido como descarga de documento de proyecto

Instantánea de amenazas:

Esta campaña de phishing circula correos electrónicos disfrazados de documentos comerciales legítimos, como 'Project Overview.pdf'. Las víctimas son atraídas a hacer clic en enlaces de descarga, que redirigen a través de varias páginas intermedias para enmascarar la intención maliciosa, aterrizando finalmente en un sitio de phishing alojado por Tycoon PhaaS. Esta estrategia modular y evasiva ayuda a los criminales a eludir la detección y aumenta la longevidad de las URL maliciosas. La campaña se dirige a usuarios empresariales acostumbrados a intercambiar documentos, lo que les hace más propensos a confiar e interactuar con los enlaces de phishing, resultando en credenciales robadas y un posible compromiso empresarial.

Cómo Barracuda Email Protection puede ayudar a su organización

Barracuda Email Protection ofrece un conjunto completo de funciones diseñadas para defenderse contra amenazas avanzadas de correo electrónico.

Incluye capacidades como correo electrónico Gateway Defense, que protege contra Phishing y Malware, y protección contra la suplantación de identidad, que protege contra ataques Social Engineering.

Además, incluye IncidentResponse y Domain Fraud Protection para mitigar los riesgos asociados con cuentas comprometidas y dominios fraudulentos. El servicio también incluye Cloud-to-Cloud Backup y Security Awareness Training para mejorar la postura general de seguridad del correo electrónico.

Barracuda combina la inteligencia artificial y la integración profunda con Microsoft 365 para proporcionar una solución integral basado/a en la nube que protege contra ataques de Phishing y suplantación (de identidad) hiperdirigidos potencialmente devastadores.

Más información disponible aquí.

Descubre cómo Barracuda puede ayudar a proteger tu negocio
Threat Analyst Team

El equipo de analistas de amenazas de Barracuda se centra en detectar, analizar y mitigar amenazas emergentes. Dedicado a proteger a los clientes de ciberataques, el equipo aprovecha tecnologías avanzadas e inteligencia de amenazas para proporcionar información procesable y estrategias de defensa proactivas.

Publicaciones relacionadas:
Cybersecurity Awareness Month: Staying ahead of evolving phishing threats
Cybersecurity Awareness Month: Staying ahead of evolving phishing threats
 Email breach delays can multiply ransomware risk eight-fold
Email breach delays can multiply ransomware risk eight-fold
 Malware Brief: XWorm, TrickMo, and Remcos
Malware Brief: XWorm, TrickMo, and Remcos
 SOC Threat Radar — Octubre 2025
SOC Threat Radar — Octubre 2025

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.