Estafadores roban a usuarios con PDFs y SMS, alerta Zimperium
TL;DR
Investigadores de Zimperium identifican dos campañas de phishing que utilizan nombres respetables, como PayPal y EZDriveMA, para robar datos financieros de usuarios móviles. Los ataques, ocurridos entre febrero y abril de 2025, distribuyen documentos PDF maliciosos a través de SMS y MMS, aprovechando la confianza de los usuarios en mensajes de texto.
Investigadores de Zimperium identifican dos campañas de phishing que utilizan nombres respetables, como PayPal y EZDriveMA, para robar datos financieros de usuarios móviles. Los ataques, ocurridos entre febrero y abril de 2025, distribuyen documentos PDF maliciosos vía SMS y MMS, explotando la confianza de los usuarios en mensajes de texto.
La campaña de EZDriveMA generó alrededor de 2.145 dominios maliciosos rápidamente, mientras que el ataque a PayPal combina phishing digital y vishing, o phishing por voz. Investigaciones muestran que las soluciones de seguridad tradicionales tardaron hasta 27 horas más que los sistemas de inteligencia artificial para detectar estas amenazas.
EZDriveMA: peajes falsos e infraestructura rotativa
El ataque a EZDriveMA comienza con un mensaje que contiene un PDF que parece una notificación oficial sobre un peaje atrasado. Este documento incluye logotipos y formato que buscan parecer legítimos. Dentro del PDF, un enlace redirige a la víctima a un sitio falso, recopilando credenciales y datos personales.
Esta estrategia se distingue por la rápida creación de infraestructura maliciosa, con 2.145 dominios generados en dos meses. Los patrones analizados muestran la utilización de algoritmos de generación de dominios (DGA), donde dos prefijos dominan. La rapidez de la rotación de dominios hace que las soluciones tradicionales de bloqueo sean ineficaces.
Atractivo por su vasta base de usuarios, el EZDriveMA se beneficia de la urgencia creada por la posibilidad de multas, lo que facilita la manipulación.
Campaña PayPal: doble vector e ingeniería social
La campaña que finge ser de PayPal adopta un enfoque más complejo. Un PDF simula una compra de Bitcoin por valor de USD 480,11, creando una sensación de urgencia. Los usuarios son inducidos a cancelar el cargo a través de dos canales: un enlace para atención al cliente y un número de teléfono.
Ambas acciones son trampas. El enlace lleva a una página falsa que recopila datos, mientras que la llamada conecta a los usuarios con estafadores, quienes utilizan ingeniería social para extraer información confidencial, incluyendo detalles de tarjetas de crédito.
La infraestructura técnica revela mecanismos de ofuscación, incluyendo el uso de servicios de acortamiento de URL para enmascarar destinos finales y eludir herramientas de seguridad. El sistema de recopilación permite mapear víctimas y evaluar la eficacia de la campaña.
La eficacia de los ataques radica en la combinación de urgencia, apariencia profesional y distribución a través de SMS, que es visualizada rápidamente por los usuarios.
Brecha crítica de detección
Un estudio comparó los tiempos de detección entre sistemas de inteligencia artificial y bases de datos públicas. La diferencia de hasta tres días demostró la superioridad de la IA, que identifica patrones maliciosos en tiempo real, mientras que las listas públicas dependen de reportes de víctimas.
El uso de detecciones comportamentales demostró ser efectivo para identificar amenazas antes de ser catalogadas como maliciosas, mostrando la rapidez necesaria para proteger usuarios.
¿Por qué PDFs como vectores?
Los PDFs ofrecen ventajas tanto técnicas como psicológicas para los atacantes. Su estructura técnica permite ocultar URLs maliciosas a través de complejidad, mientras que, psicológicamente, son aceptados en contextos profesionales y rara vez cuestionados por los usuarios.
La distribución por SMS potencia esta situación, ya que los mensajes se abren en minutos, generando una falsa sensación de seguridad.
Falta de protección en el canal
La mayoría de las soluciones de seguridad aún no ofrecen análisis efectivo para archivos enviados por SMS/MMS. A pesar del avance en sistemas de filtrado de mensajes, pocos verifican adecuadamente los archivos adjuntos PDF, resultando en un punto ciego.
Las organizaciones generalmente implementan VPNs y firewalls, pero estas defensas no protegen dispositivos móviles cuando los usuarios acceden a mensajes personales fuera de la red corporativa.
Flujo de ataque documentado
Las campañas se dividen en tres etapas. La primera implica el envío de mensajes de texto con avisos fraudulentos, como notificaciones de peaje o facturas. En la segunda, los usuarios abren documentos convincentes. Por último, los enlaces redirigen a sistemas falsos de recolección de credenciales o llevan a llamadas donde se aplica la ingeniería social.
Tasa de precisión y velocidad
El análisis clasificó 2.145 nuevos dominios con precisión de 98,46%. La detección combina protección en tiempo real y clasificación proactiva, permitiendo mapear dominios antes de que los usuarios sean afectados. Cada hora de ventaja representa una disminución en el número de víctimas potenciales, destacando la importancia de tecnologías avanzadas en este escenario de seguridad cibernética.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
