Un grupo de hacking con sede en Irán ha pasado alrededor de un año y medio operando una campaña de hacking en la que se hacen pasar por instructores de aeróbics con el fin de espiar e infectar con malware a empleados y contratistas de defensa y agencias aeroespaciales tratando de robar información confidencial.
Acorde a los especialistas de Proofpoint, los operadores de esta campaña crearon un perfil falso supuestamente controlado por la instructora de aeróbics “Marcella Flores”, usando plataformas como Facebook, Instagram y servidores email para engañar a los usuarios afectados. Los atacantes usan estos falsos perfiles para engañar a los usuarios y distribuir malware con relativa facilidad.
Los expertos han atribuido esta campaña al grupo de hacking identificado como TA456 o Tortoiseshell, grupo de hacking auspiciado por el gobierno de Irán y muy cercano a Islamic Revolutionary Guard Corps (IRGC).
En los perfiles de redes sociales creados por los actores de amenazas, se anuncia a Marcella Flores como una experta instructora de aeróbics que reside en la ciudad inglesa de Liverpool y cuenta con una larga lista de supuestos amigos, contactos profesionales y clientes. Los hackers usan los perfiles de Marcella Flores para buscar a personas de interés en estas plataformas, ofreciendo sus supuestos servicios como entrenadora personal, solicitando responder a una encuesta de alimentación e incluso coqueteando con los usuarios afectados.
Después de ganar la confianza de los usuarios afectados, los atacantes usan una cuenta de Gmail personal para enviar un enlace de OneDrive donde supuestamente se alojan documentos personales; en realidad, esta plataforma aloja un archivo cargado con una nueva versión del malware Lideric, también conocido como Lempo. Este malware genera persistencia en los sistemas Windows para después comenzar a buscar y robar información confidencial como nombres de usuario y credenciales de acceso, las cuales son enviadas a un servidor controlado por los hackers.
La información comprometida permitiría a los actores de amenazas obtener acceso remoto a plataformas VPN y de administración remota, lo que podría permitir el despliegue de ambiciosas campañas de espionaje cibernético y sofisticados ataques de phishing. Después de recibir un reporte al respecto, Facebook eliminó los perfiles de Marcella Flores en sus diversas plataformas, además de publicar una alerta de seguridad relacionada con esta campaña de hacking.
Esta es una muestra clara de la sofisticación con la que los actores de amenazas pueden operar, creando una infraestructura integral para el despliegue de ambiciosas campañas de ingeniería social y phishing. Los usuarios deben tratar de evitar hacer contacto con una cuenta desconocida en redes sociales, especialmente si se trata de empleados o personal directivo en compañías contratistas gubernamentales.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad