Investigadores de amenazas han identificado una sofisticada campaña de phishing que explota servicios legítimos de infraestructura en la nube: Cloudflare Pages (dominio *.pages.dev) y Zendesk para hospedar páginas fraudulentas que roban credenciales de usuarios. La campaña ha detectado más de 600 dominios maliciosos bajo el sufijo *.pages.dev, registrados mediante typosquatting.
Phishing de Soporte Falso con Infraestructura Legítima
La campaña utiliza la alta reputación de los servicios cloud (Cloudflare y Zendesk) para evadir filtros y realizar ataques de soporte técnico personalizado que culminan con la instalación de software de control remoto.
Cadena de Ataque (Soporte Remoto Malicioso)
- Engaño Inicial: La víctima recibe un enlace a lo que parece un portal de soporte técnico oficial (de un banco, proveedor de servicios, etc.).
- Hospedaje de Confianza: La página está hospedada bajo un dominio que parece legítimo (ej., something.support.pages.dev) o un subdominio de Zendesk que imita un canal de tickets.
- Chat en Vivo: En la página aparece un chat en vivo (posiblemente operado por un humano o IA sofisticada) donde el supuesto “técnico” realiza una ingeniería social personalizada.
- Instalación Remota: El técnico pide a la víctima que instale un software de control remoto legítimo (ej., Rescue ) bajo la apariencia de “solucionar el problema”.
- Control del dispositivo: Una vez instalado, el atacante obtiene el control total del dispositivo, pudiendo robar credenciales, tokens de SSO, instalar malware adicional y moverse lateralmente.
Riesgo Amplificado
- Evasión de Filtros: El uso de infraestructura en la nube legítima ( Cloudflare Pages y Zendesk ) reduce la sospecha del usuario y evade muchos filtros tradicionales de URL que confían en la reputación del dominio principal.
- Ataque Personalizado: El uso de chat en vivo permite al atacante adaptar la ingeniería social al contexto de la víctima (rol, ubicación), lo que incrementa distribuidamente la tasa de éxito.
- Riesgo en Desarrollo: El abuso de pages.dev(un servicio gratuito/ low-cost de Cloudflare para desarrolladores) demuestra que los servicios de “desarrollo y test ” pueden convertirse en una infraestructura de ataque masivo y no monitoreada.
- Camuflaje del Payload : Al usar software de control remoto legítimo, el payload (la herramienta de acceso) no genera alertas de “nuevo programa desconocido”, lo que facilita el acceso persistente.
Recomendaciones
Para Usuarios y Empleados (Foco en el Engaño)
- Verificación de Dominio: Verificar que los enlaces de “soporte técnico” proceden de canales oficiales. Sospechar de dominios desconocidos o subdominios genéricos ( pages.dev) que imitan marcas conocidas.
- Política de Instalación Remota: No instalar software de control remoto si el solicitante no ha sido validado mediante procedimientos internos de la empresa. En caso de duda, contacte al área interna de TI antes de permitir la instalación.
- Autenticación Fuerte: Usar Autenticación Multifactor (MFA) para todas las cuentas sensibles.
Para Equipos de Seguridad / TI (Foco en la Infraestructura)
- Monitoreo de Typosquatting : Crear alertas para la creación de subdominios con typosquatting del tipo *.pages.devo *.zendesk.comque contengan nombres de marcas que imitan a la empresa.
- Lista Blanca de RMM: Implementar lista blanca ( allow-listing ) para software de control remoto, de modo que solo las aplicaciones autorizadas (ej., la versión corporativa de Rescue) puedan instalarse.
- Auditoría de Instalaciones: Auditar las máquinas de los empleados para identificar instalaciones de software de control remoto inesperadas o fuera de los canales autorizados.
- Capacitación: Capacitar al personal en ataques de “soporte falso” (vishing + chat en vivo), que es una de las tácticas más creíbles para phishing empresarial.
