Atac de phishing de l'arna Luna

L'Oficina Federal d'Investigació dels Estats Units (FBI) ha emès un avís sobre els atacs d'enginyeria social llançats per un grup anomenat Luna Moth. Aquest actor criminal d'extorsió ha estat atacant bufets d'advocats durant els darrers dos anys, utilitzant una barreja de correus electrònics de phishing i enginyeria social basada en telèfons per robar dades sensibles i exigir el pagament.

Com funcionen: el manual de phishing de devolució de trucades

Luna Moth, també coneguda com a Chatty Spider, Silent Ransom Group (SRG), Storm-0252 i UNC3753, ha estat activa des d'almenys el 2022. Es basa principalment en una tàctica anomenada callback phishing o telephone-oriented attack delivery (TOAD). Els seus correus electrònics de phishing, que semblen inofensius i giren al voltant de factures i subscripcions, enganyen els destinataris perquè truquin a un número de telèfon per "cancel·lar" un pagament o una subscripció.

Durant aquestes trucades, els atacants guien la víctima per instal·lar un programa d'accés remot, obtenint accés no autoritzat als seus sistemes. Amb el control d'aquests dispositius, els actors amenaçadors recopilen informació sensible i fan un seguiment de les demandes d'extorsió per evitar que les dades es filtrin o es venguin a altres ciberdelinqüents.

De BazarCall a la suplantació d’identitat

Aquest és el mateix equip que hi havia darrere de campanyes anteriors de BazarCall que propagaven programari de ransomware com ara Conti . Des del tancament de Conti, Luna Moth ha intensificat els seus esforços. Cal destacar que, a partir del març del 2025, han evolucionat la seva estratègia trucant directament a individus específics, fent-se passar per empleats del departament d'informàtica. Aquest enfocament manipula els empleats perquè s'uneixin a una sessió d'accés remot, sovint amb el pretext de realitzar manteniment nocturn.

Eines de l’ofici: integrar-se amb programari legítim

Un cop concedit l'accés, Luna Moth augmenta els privilegis i utilitza eines legítimes per exfiltrar dades:

• Rclone
• WinSCP
• Zoho Assist
• Sincro
• AnyDesk
• Splashtop
• Atera

Com que es tracta d'eines genuïnes de gestió de sistemes i accés remot, sovint eviten la detecció de les eines de seguretat. Si el dispositiu compromès no té privilegis d'administrador, s'utilitza WinSCP portable per obtenir les dades robades. Tot i ser una tàctica recent, ha demostrat ser notablement eficaç, donant lloc a múltiples compromisos reeixits.

Signes de problemes: indicadors d’un atac d’arna Luna

Els operadors de ciberseguretat han d'estar atents a certes banderes vermelles:

• Correus electrònics o missatges de veu inesperats d'un grup anònim que al·leguen robatori de dades.
• Correus electrònics relacionats amb renovacions de subscripcions que requereixen una trucada telefònica per evitar càrrecs.
• Trucades telefòniques no sol·licitades de suposat personal d'informàtica que demanen accés remot al vostre dispositiu.
• Connexions sospitoses fetes mitjançant WinSCP o Rclone a adreces IP externes.

Atacs d’alt tempo i suplantació d’identitat al servei d’assistència

La investigació mostra que les campanyes de phishing de retrollamada "d'alt ritme" de Luna Moth se centren en els sectors legal i financer dels EUA. Utilitzen plataformes com Reamaze Helpdesk i altres programes d'escriptori remot. Només el març del 2025, Luna Moth va registrar almenys 37 dominis a través de GoDaddy. La majoria d'aquests dominis suplanten els serveis d'assistència informàtica i els portals de suport de les organitzacions objectiu.

Aquests dominis amb temàtica de servei d'assistència normalment comencen amb el nom de l'empresa objectiu. Els atacants confien en un petit nombre de registradors i proveïdors de servidors de noms, sent domaincontrol.com el més comú.

Estigueu alerta!

Les campanyes de Luna Moth destaquen la necessitat crítica de vigilància. Combinant eines fonamentals amb enginyeria social i suplantació de domini, eviten moltes defenses i posen en risc dades sensibles. Reconèixer les seves tàctiques és el primer pas per mantenir-se protegit.