Google Threat Analysis Group (TAG) ha anunciado que piratas informáticos norcoreanos están implementado un nuevo método de ingeniería social para atacar investigadores de seguridad.
Al parecer los hackers han estado usando plataformas sociales como Twitter, LinkedIn, Telegram, Discord y Keybase para acercarse a investigadores de seguridad. El grupo de ciberdelincuentes ha creado una serie de cuentas falsas en estas redes para tener mayor credibilidad mientras interactúan con las posibles víctimas.
¿En qué consiste esta modalidad de ataque basada en ingeniería social?
Los hackers usan perfiles sociales para redireccionar a los investigadores a un blog y exploits. Lo sorprendente acá es que los equipos se infectan con solo visitar el sitio web. Incluso, ejecutando las últimas versiones parcheadas de Windows 10 y Chrome.
Tal parece que la seguridad del sistema operativo de Microsoft ni la del navegador del gigante tecnológico funcionan en estas páginas. Una situación bastante preocupante. Al respecto, Adam Weidemann, investigador de seguridad de Google TAG expresó:
“…Se instaló un servicio malicioso en el sistema del investigador y una puerta trasera en la memoria comenzaría a enviar señales a un servidor de comando y control propiedad del actor”.
Aunado a ello, los piratas informáticos también utilizan como medio de enganche el correo electrónico. En este, “después de establecer las comunicaciones iniciales, los actores preguntarían al investigador objetivo si querían colaborar juntos en la investigación de vulnerabilidades y luego proporcionarían al investigador un proyecto de Visual Studio”, indicó Weidemann.
Sin embargo, el proyecto incluía un software malicioso “que instalaba un malware en el sistema operativo del investigador objetivo”. Este código fue asociado a Lazarus Group, un grupo de ciberdelincuentes norcoreanos.
KTAE code similarity analysis for the malware used to target security researchers involved in 0day analysis and development. "Manuscrypt" (also known as FALLCHILL) is typically used by the Lazarus APT. 👉 pic.twitter.com/hXxuJIj9Lc
— Costin Raiu (@craiu) January 26, 2021
“Análisis de similitud de código KTAE para el malware utilizado apunta a investigadores de seguridad involucrados en el análisis y desarrollo de 0day. “Manuscrypt” (también conocido como FALLCHILL) es utilizado normalmente por Lazarus APT”, se lee en el tweet.
Google TAG solicita detalles sobre los ataques
Google TAG está solicitando a los investigadores de seguridad que se crean infectados enviar detalles sobre el ataque. Esto para estudiar a fondo en que consiste el ataque, además de evaluar porqué la defensa de Google y Microsoft no están funcionando.
De igual modo, el equipo de Google TAG recomienda a la comunidad de ciberseguridad revisar sus historiales de navegación para saber “si interactuaron con alguno de estos perfiles o si accedieron al dominio malicioso blog.br0vvnn.io”.
Así pues, Google insta a investigadores de seguridad a estar atentos en sus redes y no interactuar con cuentas desconocidas, ya que se desconocen las intenciones de estos ciberdelincuentes.