Un nuevo kit de phishing denominado CoGUI ha enviado más de 580 millones de correos electrónicos a víctimas entre enero y abril de 2025, con el objetivo de robar credenciales de cuentas y datos de pago.
Detalles del Ataque
Los correos electrónicos falsifican a grandes marcas como Amazon, Rakuten, PayPal, Apple, agencias fiscales y bancos.
La actividad alcanzó su punto máximo en enero de 2025, cuando 170 campañas enviaron 172 millones de mensajes de phishing a objetivos.
Aunque incluso en los meses siguientes, el volumen de correos sigue siendo igualmente impresionante.
Los investigadores de Proofpoint que descubrieron las campañas de CoGUI, señalaron que esta es la campaña de phishing de mayor volumen que actualmente están rastreando.
Aunque los ataques se dirigen principalmente a Japón, también se han detectado campañas más pequeñas dirigidas a Estados Unidos, Canadá, Australia y Nueva Zelanda.
CoGUI ha estado activo desde al menos octubre de 2024, pero Proofpoint comenzó a rastrearlo en diciembre y hasta la fecha.
Cadena de Ataque de CoGUI
El ataque comienza con un correo electrónico de phishing que se hace pasar por una marca confiable, a menudo con líneas de asunto urgentes que requieren la acción del destinatario.
Los mensajes incluyen un enlace URL que redirige a un sitio web de phishing alojado en la plataforma CoGUI, pero el enlace solo se resuelve si el objetivo cumple con ciertos criterios predefinidos por los atacantes.
Estos criterios incluyen:
- Dirección IP (ubicación).
- Idioma del navegador.
- Sistema operativo.
- Resolución de pantalla.
- Tipo de dispositivo (móvil o de escritorio).
Si los criterios no se cumplen, las víctimas son redirigidas al sitio legítimo de la marca que se está suplantando para reducir la sospecha.
Si los criterios son válidos, la víctima es redirigida a una página de phishing con un formulario de inicio de sesión falso que imita el diseño del sitio legítimo, engañando a la víctima para que ingrese su información sensible.
Impacto y Perspectivas Futuras
Los investigadores también han encontrado que CoGUI fue responsable de campañas de smishing (phishing a través de SMS) dirigidas a Estados Unidos, usando como gancho alertas de “pago de peajes pendientes”.
Aunque gran parte de esa actividad ahora ha migrado al kit Darcula.
Aunque CoGUI facilita las operaciones de varios actores de amenazas, principalmente de China que se centran en usuarios japoneses, los investigadores advierten que el kit podría ser adoptado por otros ciberdelincuentes con un enfoque de objetivos diferente en cualquier momento, lo que podría resultar en oleadas masivas de ataques dirigidos a otros países.
Recomendaciones para Mitigar los Riesgos de Phishing
Para reducir los riesgos de caer en un ataque de phishing, los expertos recomiendan:
- Nunca actuar con prisa cuando se reciban correos electrónicos que soliciten acciones urgentes.
- Iniciar sesión de forma independiente en la plataforma alegada, en lugar de seguir los enlaces incrustados en los correos electrónicos.