Campaña de phishing dirigida a la plataforma de recompensas para empleados Awardco

18 de agosto de 2025

Por Hiwot Mendahun, Ankit Gutpa y el equipo de investigación de amenazas de Mimecast

Resumen de la campaña

Hiwot Mendahun, Ankit Gupta y el equipo de investigación de amenazas de Mimecast han identificado una amplia campaña, que se ha prolongado durante varios meses, dirigida contra diversas organizaciones y en la que se suplantaba la identidad de Awardco, una plataforma de recompensas y reconocimiento para empleados muy utilizada. Esta campaña se atribuye a una operación de amenazas identificada internamente como MCT03028 y supone un importante reto en materia de riesgos para las personas, ya que se aprovecha la expectativa generalizada de que los empleados reciban comunicaciones sobre recompensas, prestaciones y programas de reconocimiento en el ámbito laboral.

A diferencia de los ataques dirigidos que se centran en puestos o departamentos concretos, la suplantación de identidad de Awardco puede afectar de manera efectiva a organizaciones enteras, ya que, por lo general, todos los empleados interactúan con las plataformas de recompensas y esperan recibir notificaciones relacionadas con ellas. Desde mayo de 2025, los autores de las amenazas han demostrado una persistencia y una sofisticación notables, utilizando diversas cuentas comprometidas, múltiples servicios de redireccionamiento y diversos métodos de distribución para mantener la eficacia de sus campañas. Estos ataques se aprovechan de la confianza que los empleados depositan de forma natural en las comunicaciones legítimas sobre prestaciones laborales, lo que los convierte en algo especialmente peligroso desde el punto de vista de la gestión de riesgos humanos. Es natural que los empleados esperen recibir comunicaciones sobre programas de recompensas, reconocimiento del rendimiento y novedades sobre prestaciones, lo que supone una oportunidad ideal de ingeniería social para los autores de amenazas.

Las campañas han ido evolucionando a lo largo de este periodo de cuatro meses, lo que pone de manifiesto la capacidad de adaptación de los autores de las amenazas y la disponibilidad de recursos de los mismos. Aunque en un principio se utilizaban simples redireccionamientos a través de dominios comprometidos, la operación ha evolucionado hasta incorporar sofisticadas cadenas de redireccionamiento en varias etapas, mecanismos de distribución mediante códigos QR, distribución a través de SMS y el uso indebido de servicios de seguridad legítimos.

Esta evolución pone de manifiesto que se trata de una operación maliciosa que cuenta con abundantes recursos y con capacidad para seguir desarrollándose. La eficacia psicológica de esta campaña radica en que aprovecha los procesos legítimos del entorno laboral. A diferencia de las comunicaciones externas sospechosas, las notificaciones de Awardco parecen proceder de procesos empresariales habituales, lo que reduce considerablemente las sospechas de los empleados y aumenta los índices de implicación.

Análisis técnico

Los autores de las amenazas han utilizado múltiples variantes de cadenas de redireccionamiento a lo largo de las campañas, lo que demuestra su sofisticada capacidad para eludir la detección. A continuación se presenta un ejemplo del 1 de agosto de 2025 en el que se utilizaron un total de 9 redireccionamientos, incluida una página CAPTCHA antes de la página final de phishing.

Las campañas muestran patrones técnicos recurrentes, entre los que se incluyen la codificación Base64, el uso indebido de servicios legítimos (AWS SES, Sophos, Google Sites) y el uso estratégico de cuentas de correo electrónico corporativas comprometidas para reforzar la credibilidad. Los autores de las amenazas parecen dar preferencia a las cuentas de Amazon SES —probablemente comprometidas—, aunque también utilizan en cierta medida cuentas de Office 365 para la distribución.

Protección de Mimecast

Mimecast ha implementado un sistema de detección para las campañas de suplantación de identidad de Awardco. Nuestro equipo de investigación de amenazas sigue vigilando los cambios en las tácticas y técnicas que emplean estos actores maliciosos para garantizar que nuestros clientes sigan estando protegidos frente a los vectores de ataque en constante evolución.

Indicadores de compromiso (IOC)

Uso indebido de la infraestructura de redireccionamiento:

• c.podium.co - Servicio de seguimiento de clics de Podium
• sites.google.com - Google Sites
• sales-engage.com - Servicio Sales Engage de HubSpot
• eu-central-1.protection.sophos.com - Servicio de reescritura de enlaces de Sophos
• 86nxjchv.r.us-east-1.awstrack.me - Seguimiento de AWS
• mop.bz - Servicio de acortamiento de URL

Páginas de phishing alojadas en:

• Soundorama[.]com/index[.]html
• Soundorama[.]com/lol[.]html
• tuicorp[.]com/awardco[.]html
• capnco[.]com/go/iex[.]html

Números de teléfono:

• (417) 397-7374 (envío mediante SMS)

Temas

• Su tarjeta regalo electrónica de 400 dólares caducará hoy
• Alerta de caducidad de puntos de Awardco: 200 $
• URGENTE: El acceso de administrador de Awardco caducará en 5 horas
• ¡¡¡Enhorabuena!!!

Recomendaciones

Medidas de seguridad para el correo electrónico

• Analice cadenas de redireccionamiento avanzadas para asegurarse de que puede seguir secuencias completas a través de múltiples servicios legítimos
• Implemente reglas de detección específicas para los patrones de uso indebido de AWS SES, combinadas con temas relacionados con las prestaciones para empleados y la imagen de marca de Awardco.
• Implemente un análisis en tiempo real de códigos QR para detectar enlaces de phishing ocultos y patrones de redireccionamiento sospechosos

Formación en concienciación sobre seguridad para usuarios

• Informar a todos los empleados sobre los riesgos de suplantación de identidad de Awardco, haciendo hincapié en que se trata de un ataque dirigido a todo el personal y no de amenazas específicas para determinados puestos.
• Informe a los usuarios de que deben verificar las comunicaciones relacionadas con el programa de recompensas a través de los canales internos establecidos antes de hacer clic en ningún enlace
• Llevar a cabo simulaciones exhaustivas de phishing que incorporen múltiples vectores de ataque: enlaces en correos electrónicos, códigos QR y escenarios basados en SMS

Detección proactiva de amenazas

• Buscar en los registros de recibos de correo electrónico los asuntos de los mensajes que coincidan
• Revise los registros de clics en las URL para detectar páginas de phishing coincidentes
• Supervise los patrones de redireccionamiento inusuales que impliquen servicios de seguridad legítimos (Sophos, Google Sites) y que se combinen con temas relacionados con recompensas
• Busque intentos de ingeniería social a través de SMS en los que se mencionen programas de recompensas o la reactivación de cuentas

Seguimiento

• Implemente un sistema de seguimiento de las redirecciones secuenciales a través de múltiples servicios legítimos, en particular aquellos relacionados con la imagen de marca de las prestaciones para empleados.
• Supervise los eventos de autenticación inusuales tras los presuntos intentos de suplantación de identidad de Awardco