Estafas de sextorsión que utilizan servicios de facturación y contabilidad para su difusión
14 de julio de 2025
Por el equipo de investigación de amenazas de Mimecast
- Estafas de sextorsión difundidas a través de servicios de facturación y contabilidad en línea
- Se han detectado campañas similares en las que se utiliza la misma dirección de Bitcoin para el pago
- Técnicas de evasión utilizadas para eludir las soluciones de seguridad
- Dirigido principalmente a empresas de Estados Unidos y Australia
El equipo de investigación de amenazas de Mimecast ha identificado una nueva campaña de estafa de sextorsión que se aprovecha de servicios de facturación legítimos para distribuir correos electrónicos maliciosos. Estas campañas, que comenzaron en junio de 2025, utilizan técnicas de evasión para eludir las soluciones de seguridad y se dirigen a destinatarios desprevenidos. Estas campañas destacan por el uso que hacen de servicios legítimos para dar credibilidad a sus intenciones maliciosas.
Detalles de la campaña
Se han detectado recientemente campañas de phishing que utilizan Eslip, Snap Invoicing y Loyverse como medios de distribución. Estas plataformas, que ofrecen servicios de facturación y gestión de pagos, están siendo utilizadas para facilitar estafas automatizadas. Estas campañas se aprovechan de las funcionalidades de los servicios de facturación ya consolidados, lo que permite a los atacantes enviar notificaciones fraudulentas por correo electrónico que parecen legítimas. Esta táctica no solo refuerza la credibilidad de las estafas, sino que también aumenta la probabilidad de que los usuarios interactúen con ellas.
Se han identificado tres campañas similares, en las que se utiliza la misma dirección de monedero de Bitcoin tanto para el pago como para la dirección de respuesta por correo electrónico, lo que indica que se trata de una acción coordinada. En los correos electrónicos se afirma disponer de material comprometedor sobre el destinatario y se exige un pago en bitcoins para evitar que dicho material se haga público. Se utiliza otra información personal, como la fecha de nacimiento o la contraseña del destinatario, para dar mayor credibilidad al mensaje y provocar pánico. Esto indica que la información del destinatario se ha visto afectada por una filtración de datos, y cómo este tipo de datos puede aprovecharse para lanzar nuevos ataques.
Técnicas de evasión
Para eludir las soluciones de seguridad, los atacantes recurren a los siguientes métodos:
- Dividir la dirección de Bitcoin en dos partes dentro del correo electrónico para evitar que los escáneres automáticos la detecten.
- Publicar información adicional sobre la extorsión, incluida la dirección de Bitcoin, en un sitio web externo (catbox.moe). De este modo se garantiza que los datos confidenciales no se incluyan directamente en el cuerpo del correo electrónico, lo que evita aún más su detección.
Las campañas recientes ponen de manifiesto un cambio estratégico por parte de los autores de amenazas, que ahora recurren al uso indebido de servicios legítimos de notificación en línea como vectores de distribución. Esta táctica aprovecha la confianza inherente que los usuarios depositan en las plataformas conocidas para eludir las defensas perimetrales y burlar los controles de seguridad habituales. El aprovechamiento de estos servicios de confianza no solo aumenta la probabilidad de que los usuarios interactúen con ellos, sino que también reduce las posibilidades de detección, lo que supone un mayor riesgo para los entornos empresariales. Estos acontecimientos refuerzan la necesidad de contar con estrategias de detección adaptativas que tengan en cuenta el uso indebido de infraestructuras legítimas.
Protección de Mimecast
Mimecast ha implementado funciones de detección para identificar y bloquear los correos electrónicos relacionados con esta campaña. Seguimos vigilando los cambios en las tácticas y técnicas que emplean los autores de las amenazas para garantizar que nuestros clientes sigan estando protegidos.
Objetivos:
Organizaciones, principalmente estadounidenses y australianas, de diversos sectores
del COI
Envío de direcciones de correo electrónico
mailer@snapinvoicing[.]com
help@loyverse[.]com
Dirección de respuesta
contact@enrolledagent[.]com
Temas
[nombre] – ¡Estamos con usted! [nombre] – Se requiere una acción inmediata N.º de presupuesto [número de seis dígitos] de BlackEye para [nombre]
Cartera de Bitcoin
1AiSyds8XSXEVCs4QWhdpsbikCEiLfpWLY
Recomendaciones
- Formación sobre concienciación de seguridad para usuarios
- Informe a los usuarios sobre los últimos señuelos utilizados en estas campañas
- Realice simulacros periódicos de phishing que incluyan las amenazas más recientes
- Caza proactiva de amenazas
- Busque en sus registros de recibos de correo electrónico las direcciones de remitente que coincidan o que figuren en el campo «Responder a».
- Revise sus registros de recibos de correo electrónico para determinar si se han enviado a sus usuarios mensajes con asuntos similares.