La firma de seguridad Trustwave informó que varios de sus clientes han sido blanco de una campaña de phishing que se oculta bajo una supuesta revisión del cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés).

La compañía dijo que los estafadores lograron copiar la plantilla de notificaciones de revisión que utiliza Trustwave y la han utilizado en conjunto con el kit de exploits Blackhole para afectar a sitios que utilizan tecnologías vulnerables como Java, Flash o Adobe Reader y poder infectar a las víctimas con el bot Cutwail. Trustwave descubrió que Cutwail ha sido utilizado en semanas recientes para afectar a marcas como Facebook, AT&T, Verizon y UPS (nombres muy interesantes dentro de una campaña de phishing).

Trustwave aún no ha revelado como detectó los correos fraudulentos ni tampoco la cantidad de clientes que los han recibido; sin embargo, un objetivo muy claro es el sector de venta que requiere cumplir con el estándar PCI DSS. El vocero de la compañía dijo que ésta es la primera vez que la compañía es utilizada en una campaña de phishing.

El objetivo principal de Cutwail es "reclutar" más clientes para su sistema de envío de spam; sin embargo, una vez que un equipo es comprometido, pueden surgir más formas de poder instalar malware en cualquier momento.

"Este tipo de campaña es sobre un Cutwail vintage, es decir, se observan muchas variantes del bot a diario. En estos momentos es algo extraño, pues ayer publicamos nuestro Reporte Global de Seguridad y en el mismo resaltamos a Cutwail como uno de los mayores distribuidores de spam malicioso," indicó Trustwave.

La parte más inteligente de la campaña es que una vez que el phishing es dirigido a los clientes, éste logra llegar más allá de los sistemas de protección de las organizaciones en donde, paradójicamente, se vuelve un problema difícill de afrontar.

Asumiendo que el correo electrónico logró llegar a un cliente, el supuesto mensaje de Trustwave es altamente convincente para la persona, quien usualmente espera este tipo de notificaciones; únicamente lo delata la falta de un nombre en el destinatario.

"Estas campañas de spam realista y malicioso son ya una gran amenaza. Las organizaciones deberían pensar en implementar una protección basada en múltiples capas para contrarrestar la amenaza, incluyendo puntos de acceso seguros para correo y páginas web, antivirus y, por último pero no menos importante, concientizar y educar a los usuarios," declaró Trustwave.