Los piratas informáticos están lanzando ataques de phishing más sofisticados. Esta vez no se trata solo de hacerse pasar por su técnico de TI y enviarle enlaces sospechosos por correo electrónico. Esta nueva estafa implica el uso de cuentas de correo electrónico falsas de ‘títeres de calcetines’ para engañarlo y hacerle creer que es parte de la conservación entre colegas.
Investigadores en Proofpoint (se abre en una pestaña nueva) (a través de Bleeping Computer (se abre en una pestaña nueva)) llaman a la técnica «suplantación de identidad de varias personas» o MPI. La técnica consiste en incluir al objetivo en un intercambio de correo electrónico falso entre varias personas estafadoras en un intento de convencerlos de que se trata de una conversación legítima. Una vez que se gana la confianza, a veces después de entablar «conversaciones benignas con los objetivos durante semanas», según Proofpoint, los piratas informáticos entregan un enlace malicioso.
El intercambio de correos electrónicos estará relacionado con la industria o el campo de investigación del objetivo, por lo que estar incluido en la cadena no parecerá necesariamente fuera de lo común.
El grupo responsable se designa como TA453, que Proofpoint cree que trabaja para el Cuerpo de la Guardia Revolucionaria Islámica de Irán. Las tácticas del grupo han evolucionado con el tiempo. Anteriormente, los atacantes de TA453 se hacían pasar por periodistas o investigadores individuales que cubrían las políticas de Oriente Medio y tenían como objetivo «académicos, legisladores, diplomáticos, periodistas y trabajadores de derechos humanos», dice Proofpoint. Trataban de involucrar a los objetivos en conversaciones uno a uno, pero comenzaron a usar esta estrategia de títeres de calcetín de correo electrónico grupal a principios de este año.
Un ejemplo muestra un correo electrónico enviado a dos verdaderos expertos en relaciones entre EE. UU. y Rusia desde un «Carrol» y tres personas más con cuentas de correo electrónico administradas por los piratas informáticos. Otros incluyen lanzamientos para colaboración en investigación del «director de investigación» de una universidad. En cada caso, las cuentas de los títeres de calcetines se responderían entre sí en un esfuerzo por dar legitimidad a la conversación.
Los correos electrónicos iniciales y las respuestas falsas generalmente no tienen ningún enlace, dice Proofpoint. Generalmente es alrededor del cuarto o quinto mensaje donde se comparte un enlace, luego un mensaje de seguimiento que le pide al objetivo que lea el archivo días después.
A veces, se trata de un enlace de llamada de Zoom, un archivo de «investigación» protegido con contraseña o un enlace directo a un artículo. El enlace está cargado con malware que raspa su PC en busca de información personal y envía esos detalles a los atacantes.
La táctica aprovecha el FOMO de la víctima, como dice Proofpoint. Los investigadores apuntan a un estudio que mostró que las personas tienden a «copiar las acciones de otros», según una descripción del principio de «prueba social» en Psychology Today. (se abre en una pestaña nueva).
Estos piratas informáticos parecen tener un grupo específico de objetivos en mente, por lo que, a menos que sea un experto en políticas de Oriente Medio o EE. UU.-Rusia, probablemente esté limpio. Sin embargo, tenga cuidado de todos modos: los estafadores usarán cualquier plan que funcione, por lo que este podría propagarse. Otra nueva técnica de phishing detectada recientemente (se abre en una pestaña nueva)utiliza una ventana emergente falsa para simular de manera convincente un formulario de inicio de sesión de Steam.