Los piratas informáticos patrocinados por el estado iraní han ideado un nuevo truco de mala calidad para que las personas descarguen archivos adjuntos maliciosos, advierten los investigadores.
Expertos en ciberseguridad de Proofpoint encontrados (se abre en una pestaña nueva) el actor de amenazas TA453, supuestamente vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), está participando en la «suplantación de identidad de varias personas» o «títeres de calcetines» para que las víctimas descarguen malware.
En otras palabras, están teniendo conversaciones por correo electrónico con ellos mismos, mientras dejan que las víctimas escuchen a los lados, antes de engañarlos para que descarguen un archivo que ni siquiera se les envió necesariamente.
fingiendo una conversación
Así es como funciona: los actores de amenazas crearían múltiples cuentas de correo electrónico falsas, robando las identidades (se abre en una pestaña nueva) de científicos, directores y otras personas de alto perfil. Luego, enviaban un correo electrónico de una de las direcciones a la otra, enviando CC a la víctima en el proceso. Uno o dos días después, responderían a ese correo electrónico desde la segunda dirección que también les pertenece.
De esa manera, la víctima, esencialmente atrapada en medio de un hilo de correo electrónico, podría bajar la guardia y obtener una falsa sensación de legitimidad sobre todo el asunto. Después de una breve ida y vuelta, uno de los participantes enviaría un archivo adjunto a otros participantes, y la víctima debería descargarlo y ejecutarlo en sus terminales. (se abre en una pestaña nueva)obtendrían un archivo .DOCX lleno de macros peligrosas.
La mayor señal de alarma en esta campaña es el hecho de que todos los correos electrónicos utilizados en el ataque se crean en los principales proveedores de correo electrónico, como Gmail, Outlook o Hotmail, en lugar de estar en los dominios de las instituciones suplantadas.
«La plantilla descargada, denominada Korg por Proofpoint, tiene tres macros: Module1.bas, Module2.bas y ThisDocument.cls», explicaron los investigadores. «Las macros recopilan información como el nombre de usuario, la lista de procesos en ejecución junto con la IP pública del usuario de my-ip.io y luego extraen esa información utilizando la API de Telegram».
Aunque no pudieron verificarlo, los investigadores creen que los actores de amenazas se involucran en una explotación adicional más adelante.