Los investigadores de Group-IB han revelado detalles de una campaña fraudulenta a gran escala dirigida contra usuarios de Oriente Medio y el Norte de África (MENA). Los atacantes utilizan cuentas falsas de Facebook que suplantan a políticos, figuras públicas y organizaciones de confianza para atraer a las víctimas con promesas de Internet móvil gratuito, compensaciones económicas y subsidios estatales. En lugar de los beneficios prometidos, los usuarios caen en un embudo de redireccionamientos de varias etapas que conduce a una infraestructura de phishing y a sistemas de monetización de tráfico. Según los investigadores, la campaña está vinculada a la plataforma Sniper Dz, un servicio de «phishing as a service» (PhaaS) que, según se informa, fue desmantelado en una operación liderada por INTERPOL.
Embudo en múltiples etapas: de la ingeniería social a la monetización
El rasgo distintivo de esta campaña es el abandono del malware tradicional en favor del abuso de tecnologías web legítimas y de plataformas de confianza. La cadena de ataque típica se estructura de la siguiente manera:
Vector inicial: cebos localizados
Según los investigadores, los estafadores crean cuentas falsas de Facebook que imitan a conocidos proveedores de telecomunicaciones —en particular, Algérie Télécom— y promocionan campañas falsas. El elemento clave es la localización: los cebos se adaptan a regiones y operadores concretos, lo que incrementa la confianza de las potenciales víctimas.
Capa intermedia: agregadores de enlaces legítimos
En lugar de redirigir directamente a dominios maliciosos, la campaña utiliza un nivel intermedio: plataformas de agregación de enlaces como Linkbio y Linktree. En estos servicios se crean páginas de destino ficticias que parecen inofensivas y no despiertan sospechas en los sistemas de moderación de las redes sociales. Se trata de una elección táctica fundamental: el uso de dominios de confianza permite sortear tanto los filtros automáticos de las plataformas como la propia vigilancia de los usuarios.
Compromiso del navegador: notificaciones push y VAPID
La página final solicita al usuario permiso para enviar notificaciones del navegador, mediante el clásico cuadro de diálogo «Haga clic en Allow para continuar». Detrás de esto se esconde la suscripción del navegador a un sistema de notificaciones push utilizando la clave pública VAPID (Voluntary Application Server Identification).
Los investigadores descubrieron que la misma clave VAPID aparece tanto en campañas que imitan a proveedores de telecomunicaciones de Argelia como en estafas de inversión dirigidas a usuarios de varias regiones. Dado que las claves VAPID identifican al servicio responsable de la entrega de los mensajes push, su reutilización indica una infraestructura de notificaciones común, y no operaciones independientes. Este es un valioso indicador para rastrear vínculos entre campañas que en apariencia están desconectadas.
Retención de la víctima: interceptación de la navegación
La campaña emplea varias técnicas para mantener al usuario dentro del ecosistema fraudulento:
- Intercepción del botón «Atrás»: la página inserta 10 entradas ficticias en el historial del navegador, creando la llamada «cárcel del botón atrás». Al intentar retroceder, el usuario es dirigido repetidamente a páginas con publicidad o contenido fraudulento.
- Técnica «tab-under»: al seguir un enlace que abre una nueva pestaña, un script diferido redirige silenciosamente la pestaña original a otro recurso controlado por los operadores. La víctima cree que ha abandonado la página fraudulenta, pero la pestaña original sigue generando tráfico para la infraestructura de monetización.
La combinación de estas técnicas dificulta considerablemente que el usuario salga del embudo fraudulento sin cerrar por la fuerza todas las pestañas.
Monetización a través de un sistema de distribución de tráfico
Tras suscribirse a las notificaciones, las víctimas, según Group-IB, son dirigidas a un sistema de distribución de tráfico (TDS), que determina el escenario concreto de fraude en función del tipo de dispositivo, la geolocalización y el operador móvil. Entre las vías de monetización identificadas se encuentran:
- Fraude mediante llamadas de tarificación adicional a números premium
- Suscripciones a servicios SMS de pago sin el consentimiento explícito del usuario
- Estafas de inversión
Esto amplía la comprensión de las capacidades de la plataforma Sniper Dz: además del phishing clásico orientado al robo de credenciales, presumiblemente proporciona una infraestructura completa para múltiples esquemas de monetización.
Contexto de la amenaza
La plataforma Sniper Dz se presenta como una solución llave en mano de «phishing as a service» que reduce la barrera de entrada para los estafadores. Según se informa, la plataforma fue desmantelada en el marco de una operación liderada por INTERPOL; sin embargo, en los materiales disponibles no se ofrece una confirmación primaria por parte del propio INTERPOL. Debe tenerse en cuenta que la atribución de la campaña a Sniper Dz se basa en el análisis de un único centro de investigación.
La conclusión fundamental de este estudio es el desplazamiento del foco de las operaciones fraudulentas modernas: del despliegue de malware al abuso de tecnologías web legítimas, como las notificaciones push, el API de historial del navegador y las plataformas de agregación de enlaces de confianza. Esto genera un problema serio para los mecanismos tradicionales de protección, que se centran en detectar archivos maliciosos y dominios de phishing conocidos.
Recomendaciones de protección
- Para usuarios finales: revise y revoque los permisos de notificaciones push en la configuración del navegador (Chrome:
chrome://settings/content/notifications, Firefox:about:preferences#privacy→ sección «Notificaciones»). Elimine todas las suscripciones de sitios desconocidos. - Para organizaciones de la región MENA: informe a empleados y clientes sobre los esquemas con cuentas falsas que suplantan la marca de la empresa. Configure el monitoreo de menciones de la marca en redes sociales para detectar tempranamente páginas falsas.
- Para equipos de seguridad: rastree las claves VAPID como indicador de vínculos de infraestructura entre campañas. Bloquee a nivel de proxy o DNS las redirecciones a través de servicios conocidos de agregación de enlaces, si no se utilizan en los procesos de negocio.
- Para operadores de telecomunicaciones: implemente mecanismos para detectar suscripciones a SMS premium y llamadas de pago iniciadas sin la confirmación explícita del abonado, y proporcione la posibilidad de bloquear rápidamente dichos servicios.
Esta campaña demuestra que una protección eficaz frente al fraude moderno exige control no solo a nivel de endpoints, sino también a nivel de permisos del navegador y de patrones de comportamiento en la navegación web. El primer paso concreto es auditar los permisos de notificaciones push en todos los dispositivos corporativos y personales y desactivar las suscripciones de fuentes desconocidas, y para las organizaciones de la región MENA, comprobar de inmediato la existencia de páginas falsas que utilicen su marca en Facebook.
