Recientemente identificadas, las prácticas de phishing de Luna Moth revelan campañas sofisticadas dirigidas a instituciones legales y financieras a través de un dominio de corte de tipo inteligente.
Con el respaldo de hallazgos adicionales de Silent Push, los investigadores de seguridad ECLECTICIQ han revelado un enfoque sistemático para el registro de dominio que permite a los expertos en ciberseguridad identificar y rastrear de manera proactiva las nuevas infraestructuras de ataque.
Desde marzo de 2025, Luna Moth (rastreada como Silent Ransom Group, UNC3753 y Storm-0252) ha fortalecido sus operaciones contra organizaciones estadounidenses de alto valor.
El grupo ha registrado al menos 37 dominios a través de Godaddy, lo que sugiere que el número podría exceder los 50 dominios únicos.
Estos dominios generalmente usan patrones como (Company_Name) HelpDesk.com o (Company_Name) HelpDesk.com para hacerse pasar por los portales legales de soporte de TI.
Según el reciente informe de inteligencia de amenazas de Eclecticiq, “Luna Moth es muy probable que ejecute una campaña de phishing de devolución de llamada de alta tempo dirigida a organizaciones legales y financieras con sede en Estados Unidos”.
El grupo ha evolucionado más allá de las técnicas de phishing tradicionales que dependen de los archivos adjuntos y enlaces maliciosos, en lugar de emplear un método de entrega de ataque (TOAD) orientado al teléfono que comienza con un correo electrónico aparentemente benigno que le dice al destinatario que llame a un número de escritura de ayuda falsa.
Decepción de chatbot impulsado por IA
Particularmente relacionado con el desarrollo está la arma de Reamaze de Luna Moth, una plataforma legítima de atención al cliente propiedad de GoDaddy.
Los funcionarios de amenazas incrustan los chatbots con AI en sus páginas de phishing para simular interacciones reales de ayuda de TI.
Estos chatbots atraerán a las víctimas en tiempo real y las guiarán hacia la instalación de herramientas de monitoreo y gestión remota (RMM) como Aydesk, TeamViewer y todo el software legal que permite que el acceso ofensivo del teclado no implementa el malware.
Basado en la investigación de Eclecticiq, la compañía de seguridad Silent Push ha desarrollado una metodología para identificar dominios de polilla de luna recién creados. Su enfoque utiliza criterios de búsqueda específicos.
Patrón de expresión regular ^(AZ) {1,} – Ayuda (escritorio) {0,1} .com $ Captura Dominios con tema de servicio de ayuda
Desde marzo de 2025, el filtro de fecha de creación del proveedor del servidor de nombre como Registrar Domain DomainControl.com
Esta técnica de búsqueda reveló aproximadamente 50 dominios únicos dirigidos a firmas de abogados líderes, incluidos ejemplos observados recientes como duanemorris-helpdesk.com, perkinscoie-helpdesk.com y milmartin-helpdesk.com.
La campaña de Luna Moth muestra un enfoque claro en la industria, con compañías legales que representan el 40.28%de las víctimas seguidas de servicios financieros (23.61%) y contabilidad (13.89%).
Después de obtener acceso, el atacante utilizará herramientas legítimas como WINSCP y RCLONE para eliminar datos confidenciales y exigir un aumento de entre $ 1 millón y $ 8 millones a través del sitio de fuga dedicado de datos de datos comerciales ().
“La selección de víctimas de Luna Moth demuestra el enfoque intencional en el sector de servicios de alta confianza, particularmente legales, financieros y de aseguradoras, donde los datos sofisticados están ampliamente disponibles y estrechamente vinculados tanto al cumplimiento de la reputación como al cumplimiento regulatorio”.
Los expertos en seguridad recomiendan implementar medidas mejoradas de seguridad por correo electrónico, educar a los empleados en las técnicas de phishing de devolución de llamada y crear reglas de detección para instalaciones inesperadas de herramientas RMM.
Las organizaciones también deben monitorear regularmente los registros de dominio nuevos que pueden dirigir a las marcas utilizando metodologías descritas por investigadores de seguridad.
¡Haz que esta noticia sea interesante! Siga en Google News, LinkedIn, X para obtener actualizaciones instantáneas
