Los hackers están utilizando una nueva e inteligente técnica de phishing para crear hilos de correo electrónico con múltiples respuestas para engañar a las posibles víctimas haciéndoles creer que los mensajes falsos son legítimos.
La firma de seguridad cibernética Proofpoint ha identificado al grupo que despliega estos llamados correos electrónicos de “suplantación de identidad de varias personas” como TA453. La compañía vinculó previamente a TA453 con Irán y dice que sus actividades se superponen con otros grupos llamados Charming Kitten, Phosphorous y APT42.
Proofpoint dijo el martes que notó un aumento reciente en este tipo de correos electrónicos de phishing a fines de junio, cuando los atacantes que se hacían pasar por investigadores en un correo electrónico hicieron referencia a otro investigador que luego respondió al hilo.
La táctica está diseñada para crear una impresión más fuerte de que la actividad es real, dijeron los investigadores, al emplear un fenómeno psicológico conocido como ” prueba social “. A veces denominada “mentalidad de rebaño”, la idea es que es más probable que las personas participen si ven que otros también lo hacen.
La investigación aterriza en medio de una serie de desarrollos relacionados con otros ciberataques iraníes. La semana pasada, por ejemplo, la firma de seguridad cibernética Mandiant clasificó una variedad de actividades de hackeo vinculadas a Irán que datan de varios años bajo un paraguas de amenazas denominado APT42 . El mismo día, Albania anunció que rompería las relaciones diplomáticas con Irán por una serie de ataques cibernéticos a mediados de julio que tenían como objetivo los sistemas gubernamentales allí.
Tanto el gobierno estadounidense como el británico respaldaron la evaluación de los albaneses sobre la responsabilidad iraní, y Washington dio un paso más el viernes al anunciar sanciones contra el Ministerio de Inteligencia iraní y su líder.
Varios esquemas de phishing de lanza vinculados a Irán son conocidos por establecer una relación con víctimas potenciales durante largos períodos de tiempo. Incluso dentro de TA453, señalaron, algunas campañas “participan en conversaciones benignas con los objetivos durante semanas antes de entregar enlaces maliciosos”, mientras que otras tienden a “enviar inmediatamente un enlace malicioso en el correo electrónico inicial”.
TA453, señalaron los investigadores, generalmente se ha hecho pasar por un periodista o un individuo relacionado con la política que afirma querer trabajar o colaborar en la investigación para apuntar a las víctimas. “Las conversaciones benignas que eventualmente conducen a enlaces de recolección de credenciales son características de la actividad de TA453”, dijeron los investigadores.
Pero esta última evolución marca un nivel interesante y una mayor carga de recursos del lado de los atacantes, dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint.
“Esta es una técnica intrigante porque requiere que se usen más recursos por objetivo, potencialmente quemar más personas, y un enfoque coordinado entre las diversas personalidades que usa TA453”, dijo DeGrippo en un comunicado.
En un ejemplo, los hackers se hicieron pasar por un investigador del Instituto de Investigación de Política Exterior, un grupo de expertos legítimo con sede en Filadelfia centrado en la política internacional. En el correo electrónico, el investigador hizo referencia a otro investigador del Centro de Investigación Pew, a quien se le envió una copia en el correo electrónico.
Un día después del correo electrónico inicial enviado por el primer investigador, el segundo investigador respondió al hilo y le dijo a la víctima no identificada que los dos estaban “esperando saber de usted”.
En ese caso, no se enviaron documentos maliciosos. Pero en otro, el grupo empleó la misma táctica utilizando un investigador inicial y tres cuentas adicionales controladas por hackers, a quienes se les envió una copia en el correo electrónico inicial. En ese caso, la víctima inicialmente respondió al correo electrónico y el investigador inicial envió un enlace de Microsoft OneDrive que contenía un documento de Microsoft Word.
Después de que la víctima no respondió a los correos electrónicos adicionales, uno de los tres “investigadores” adicionales eliminó al primer investigador del hilo e intentó que la víctima descargara el documento.
“Todos los actores de amenazas están en constantes estados de iteración de sus herramientas, tácticas y técnicas (TTP), avanzando algunas mientras desaprobando otras”, dijeron los investigadores. Incluso con MPI, escribieron, un siguiente paso potencial es intentar enviar un correo electrónico en blanco y luego responder a ese correo electrónico en blanco mientras se incluyen varios “amigos” en la línea cc como un posible intento de eludir la detección de seguridad.
“Los investigadores involucrados en seguridad internacional, particularmente aquellos que se especializan en estudios de Medio Oriente
o seguridad nuclear, deben mantener un mayor sentido de conciencia cuando reciben
correos electrónicos no solicitados”, dijeron los investigadores. “Por ejemplo, los expertos a los que se acercan los periodistas deben consultar el sitio web del periodista para ver si la dirección de correo electrónico pertenece al periodista”.
Fuente: https://www.cyberscoop.com/phishing-scheme-targeting-mideast-researchers/
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.
