Los hackers utilizaron varios métodos para hacerse pasar por investigadores legítimos

Google advierte sobre una campaña
Google detalló cómo los piratas informáticos norcoreanos montaron una sofisticada campaña de ingeniería social para infectar a los investigadores de ciberseguridad con malware. La campaña incluyó numerosas cuentas de redes sociales e incluso un “blog” de investigación creado para generar credibilidad. Algunos investigadores se infectaron utilizando archivos de Visual Studio incrustados con malware, mientras que otros se infectaron simplemente visitando un sitio web.

Según el Threat Analysis Group de Google, los piratas informáticos norcoreanos patrocinados por el estado apuntan a los investigadores de seguridad a través de la ingeniería social. Escribiendo en una publicación de blog, el grupo dice que la campaña se dirigió específicamente a investigadores que trabajan en investigación y desarrollo de vulnerabilidades. La campaña ha estado funcionando durante los “últimos meses”.

Los piratas informáticos intentaron establecer una relación con la comunidad de investigación de seguridad creando un blog y varias cuentas de Twitter. El blog en sí presentaba reseñas de vulnerabilidades previamente descubiertas y “publicaciones de invitados” con investigadores de seguridad legítimos en la firma. Las diversas cuentas de Twitter publicarían enlaces a su blog, retuitearían las otras publicaciones y vincularían a videos de YouTube de supuestos exploits. Google dice que esto probablemente fue un intento de generar credibilidad con otros investigadores.

Un video de YouTube afirmaba explotar CVE-2021-1647, una vulnerabilidad real de Windows Defender que Microsoft corrigió recientemente. Sin embargo, Google (junto con los comentaristas de YouTube con ojos de águila) notó que el video era falso. Los atacantes intentaron duplicar sus afirmaciones de explotación al retuitear el video usando otra cuenta de Twitter, diciendo que “creo que este no es un video falso”.

Una vez que los piratas informáticos establecen comunicación con un investigador de seguridad, invitan a la persona a colaborar en alguna “investigación”. Luego, los atacantes envían al objetivo un archivo de proyecto de Visual Studio incrustado con malware. Al abrir el archivo, el programa malicioso establece una conexión con los piratas informáticos.

Aún más aterrador, Google confirmó que algunos investigadores se infectaron simplemente visitando el blog de los piratas informáticos. Un sistema Windows 10 completamente parcheado y un navegador Chrome actualizado no detuvieron la infección. Desafortunadamente, Google no pudo verificar exactamente cómo se infectaron los sistemas completamente actualizados de los investigadores, excepto que todos hicieron clic en un enlace a un blog que instaló subrepticiamente un servicio malicioso. Este servicio crea una puerta trasera en memoria para un servidor de comando y control.

Los atacantes utilizaron múltiples plataformas de redes sociales para atacar a los investigadores de seguridad, incluidos Twitter, LinkedIn, Telegram, Discord y Keybase. Google hizo una útil lista de todas las cuentas y dominios conocidos utilizados por los atacantes. Es preocupante porque muestra que incluso los expertos en ciberseguridad experimentados pueden ser engañados por una campaña de ingeniería social lo suficientemente sofisticada. Cualquier persona interesada en la investigación de seguridad debe consultar la publicación completa del blog para disminuir sus posibilidades de convertirse en un objetivo.

Suscribir
Notificar de
0 Comments
Comentarios en línea
Ver todos los comentarios