Atención: Hackers usan la plataforma n8n para enviar correos de phishing con malware

Cuidado con los correos que recibes: Investigadores de Cisco Talos descubrieron que los ciberdelincuentes están aprovechando la plataforma de automatización n8n para enviar correos de phishing (engaño) que instalan programas maliciosos en tu computadora o rastrean tu actividad. Lo peligroso es que estos correos parecen venir de un sitio web confiable, lo que hace más fácil que caigas en la trampa.

¿Cómo funciona el ataque?

n8n es una plataforma que permite a los usuarios conectar diferentes aplicaciones web y servicios en la nube para automatizar tareas. Los atacantes están usando los webhooks de n8n (URLs que permiten recibir información de otras aplicaciones) para enviar correos electrónicos fraudulentos. Cuando abres uno de estos correos y haces clic en el enlace, te lleva a una página web que descarga un archivo malicioso en tu computadora. Este archivo puede ser un programa ejecutable o un instalador MSI.

• El correo electrónico contiene un enlace a un webhook de n8n.
• Al hacer clic, te lleva a una página que a veces muestra un CAPTCHA (un sistema para verificar que eres humano).
• Después de completar el CAPTCHA, se descarga un programa malicioso desde un servidor externo.
• Como todo el proceso ocurre dentro de la página de n8n, el navegador cree que la descarga es segura.

En otro tipo de ataque, los hackers insertan una imagen invisible (un píxel de seguimiento) en el correo. Cuando abres el correo, este píxel envía información a los atacantes, como tu dirección de correo electrónico.

¿Qué tipo de malware instalan?

El objetivo final de estos ataques es instalar herramientas de administración remota (RMM) modificadas, como Datto o ITarian Endpoint Management. Estas herramientas permiten a los atacantes controlar tu computadora de forma remota y acceder a información sensible.

¿Qué significa esto para ti?

Si usas n8n, asegúrate de proteger tus webhooks y supervisar la actividad sospechosa. Si recibes correos electrónicos inesperados con enlaces a dominios *.app.n8n.cloud, ten mucho cuidado y verifica la autenticidad del remitente antes de hacer clic en nada. En general, mantén tu software actualizado y utiliza un buen programa antivirus para protegerte de estas amenazas. Recuerda, la prevención es la mejor defensa contra los ataques cibernéticos.