Los piratas informáticos configuran una empresa de seguridad cibernética falsa para apuntar a los investigadores de seguridad

Threat Analysis Group (TAG) de Google, un equipo de seguridad de Google especializado en la caza de grupos de amenazas persistentes avanzadas (APT), compartió el miércoles que una campaña respaldada por el gobierno de Corea del Norte está dirigida a investigadores de ciberseguridad con malware a través de las redes sociales.

Para aquellos que no lo saben, en enero de 2021, TAG había divulgado una campaña de piratería, dirigida a investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades en diferentes organizaciones. El 17 de marzo, los mismos actores detrás de esos ataques crearon un nuevo sitio web para una empresa falsa llamada “SecuriElite”, así como cuentas asociadas de Twitter y LinkedIn.

El nuevo sitio web afirma que es una “empresa de seguridad ofensiva ubicada en Turquía que ofrece pruebas, evaluaciones de seguridad de software y exploits”.

Según los expertos, este sitio web tiene un enlace a su clave pública PGP en la parte inferior de la página, como los sitios web anteriores configurados por el actor. La clave PGP alojada en el blog del atacante actuó como señuelo para que investigadores desprevenidos en los ataques de enero visitaran el sitio “donde un exploit del navegador estaba esperando ser activado”.

El último lote de perfiles de redes sociales del atacante continúa la tendencia de hacerse pasar por otros investigadores de seguridad interesados ​​en la explotación y la seguridad ofensiva. En total, Google ha identificado ocho cuentas de Twitter y siete perfiles de LinkedIn.

Los actores de amenazas utilizaron múltiples plataformas para comunicarse con objetivos potenciales, incluidos Twitter, LinkedIn, Telegram, Discord, Keybase y correo electrónico para comunicarse con los investigadores y generar confianza, solo para implementar una puerta trasera de Windows a través de un proyecto de Visual Studio troyanizado.

Tras el descubrimiento, Google informó todos los perfiles de redes sociales identificados a las plataformas para permitirles tomar las medidas adecuadas, después de lo cual todos fueron suspendidos.

Las cuentas parecían ser propiedad de investigadores de vulnerabilidades y personal de recursos humanos de varias empresas de seguridad, incluida Trend Macro (un nombre falso inspirado en Trend Micro), mientras que algunos se hicieron pasar por el director ejecutivo y empleados de la ficticia empresa turca.

Actualmente, el nuevo sitio web del atacante no ofrece ningún contenido malicioso para distribuir malware; sin embargo, Google ha agregado la URL del sitio web a Navegación segura de Google como precaución para evitar visitas accidentales de los usuarios.

Tras la divulgación de TAG en enero de 2021, los investigadores de seguridad de la empresa de ciberseguridad de Corea del Sur ENKI con éxito identificado estos actores utilizan un Internet Explorer 0-day. Según su actividad, los investigadores de TAG creen que estos actores son peligrosos y probablemente tengan más días cero.

“Alentamos a cualquier persona que descubra una vulnerabilidad de Chrome a informar de esa actividad a través de Chrome Programa de recompensas por vulnerabilidades proceso de envío ”, concluyó Adam Weidemann de TAG en la publicación del blog.

About the Author

Leave a Reply

Your email address will not be published. Required fields are marked *