Una gran campaña de phishing está siendo dirigida a cuentas de Instagram. Los ciberdelincuentes exigen rescates a las víctimas para restaurar el acceso. Las organizaciones suelen centrarse en las amenazas de ciberseguridad empresarial tradicional. Sin embargo, algunas amenazas son más sutiles y se dirigen a organizaciones en plataformas inesperadas. En octubre de 2021, los investigadores de Secureworks identificaron una campaña de phishing que secuestra cuentas corporativas de Instagram, así como cuentas de personas influyentes individuales que tienen una gran cantidad de seguidores. Los actores de la amenaza luego extorsionan a las víctimas con pagos de rescate. La actividad continúa al momento de esta publicación.

La campaña de phishing comienza con un mensaje que supuestamente se origina en Instagram y alerta a la víctima sobre un posible problema de infracción de derechos de autor. El enlace «Apelar como» en el mensaje es una URL de Bitly abreviada que se resuelve en un dominio de phishing controlado por el atacante.
El sitio de phishing está personalizado para imitar la cuenta de Instagram de la víctima.
Al borde de la trampa
Cuando la víctima marca la casilla que indica su objeción, el enlace «Ir al formulario de apelación» se activa. Este enlace conduce a una pantalla de inicio de sesión que solicita la contraseña de la víctima. Si la víctima proporciona su contraseña, los atacantes recopilan las credenciales y obtienen acceso a la cuenta.
Recuperar la cuenta… por un precio
Después de obtener el control de la cuenta de Instagram, los ciberdelincuentes cambian la contraseña y el nombre de usuario. El nombre de usuario modificado es una variación de «pharabenfarway» seguido de un número que parece ser el número de seguidores de la cuenta secuestrada. Los secuestradores agregan un comentario al perfil que dice que «esta cuenta de Instagram está retenida para ser vendida de nuevo a su propietario».
El comentario incluye un enlace compuesto por un dominio de WhatsApp abreviado (wa.me) y un número de contacto. Al hacer clic en el enlace, se abre un aviso de conversación de chat de WhatsApp con los delincuentes. Los actores detrás de la amenaza también se comunican con la víctima a través de un mensaje de texto al número de teléfono que figura en la cuenta y comienzan a negociar un rescate a cambio del acceso a la cuenta.
Los investigadores de Secureworks identificaron numerosas cuentas de Instagram comprometidas por pharabenfarway, lo que indica que esta campaña está muy extendida. El análisis reveló una gran lista de dominios utilizados en la campaña. Según las fechas de creación del dominio, la campaña probablemente comenzó en agosto de 2021. Una publicación en un foro clandestino de septiembre hace referencia a pharabenfarway y anuncia cuentas de Instagram secuestradas por hasta $ 40,000 USD.
Indicadores de amenazas
Para afrontar la exposición a esta amenaza, los investigadores de Secureworks recomiendan que las organizaciones utilicen los controles disponibles para revisar y restringir el acceso utilizando los indicadores que se enumeran en una tabla disponible en su sitio oficial. Tenga en cuenta que las direcciones IP se pueden reasignar. Los dominios y direcciones IP en esa tabla pueden contener contenido malicioso, así que considere los riesgos antes de abrirlos en un navegador.
Origen: Secureworks