Investigadores de seguridad han descubierto una nueva campaña de phishing de ciberdelincuentes vinculados al Estado iraní, que utiliza el señuelo de una entrevista con un destacado periodista, con el fin de engañar a los destinatarios para que hagan clic.
La última operación es obra del grupo Charming Kitten, que fue identificado por el proveedor de seguridad londinense Certfa, a través de los servidores y la configuración que utilizó en ataques anteriores, junto con otras técnicas.
La campaña esta diseñada, principalmente, para recopilar información de cuentas de correo electrónico de periodistas y activistas políticos y de derechos humanos, así como información sobre sus contactos y redes.
El plan de los criminales iraníes, se caracteriza por la suplantación de la identidad de un ex escritor del Wall Street Journal, Farnaz Fassihi, para establecer una entrevista inexistente con el destinatario. Sin embargo, los phishers cometieron un error flagrante: Fassihi está ahora en el New York Times, lo que hace que la cabecera del WSJ en el correo electrónico sea más que un poco incongruente. El correo electrónico también proviene de una cuenta de Gmail.
Los atacantes utilizan enlaces abreviados a fuentes legítimas en las notas a pie de página del correo electrónico, lo que les permite obtener información básica valiosa sobre el dispositivo de la víctima, incluyendo la dirección IP, el tipo de sistema operativo y el navegador.
“Una vez establecida la comunicación y la confianza relativa a través del correo electrónico inicial, los piratas informáticos envían a su víctima un enlace exclusivo como archivo que contiene las preguntas de la entrevista. Según nuestras muestras, Charming Kitten ha estado utilizando una página que está alojada en Google Sites”, explicó Certfa.
“Este método es una estrategia relativamente nueva que se ha utilizado ampliamente en los ataques de phishing por parte de los hackers durante el año pasado para hacer que los objetivos confíen en el dominio de destino. Después de hacer clic en el botón de descarga de la página de Google Sites, el objetivo es enviado a otra página falsa en el dominio del sitio de comprobación en dos pasos donde los kits de phishing solicitan los detalles de las credenciales de acceso de su correo electrónico, como la contraseña y el código de autenticación de dos factores (2FA)”.
Los investigadores también descubrieron una nueva pieza de malware de puerta trasera, pdfreader.exe, que cambia la configuración del Firewall y del Registro de Windows para que se ejecute automáticamente, recopile información del dispositivo y ejecute nuevo malware de forma remota en la máquina.
Con información de: Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian