Piratas informáticos vinculados al gobierno iraní han sido vinculados a una campaña de ingeniería social y suplantación de credenciales. Esta iba dirigida contra activistas de derechos humanos, periodistas, diplomáticos y políticos que trabajan en Oriente Medio.
Según un informe publicado por Human Rights Watch el pasado lunes, se cree que al menos veinte personas han sido víctimas de un ataque informático perpetrado por un grupo de ciberdelincuentes conocido como APT42, que comparte algunas similitudes con Charming Kitten.
Estos ataques han provocado la filtración de datos sensibles pertenecientes a un corresponsal de un medio de comunicación estadounidense, una defensora de los derechos de la mujer con base en el Golfo Pérsico, así como a un consultor en materia de asilo internacional con sede en Líbano.
Los hackers iraníes respaldados por el Estado han utilizado agresivos métodos de ingeniería social para conseguir acceder a los datos confidenciales de estas víctimas. Estos métodos incluyen el envío de mensajes sospechosos a través de WhatsApp con la intención de llevar a las víctimas a una URL falsa, la cual fue diseñada con la finalidad de suplantar las páginas de inicio de sesión de Microsoft, Google y Yahoo, y así obtener las credenciales de los usuarios.
Estas páginas de phishing también poseen la capacidad de llevar a cabo ataques de «Adversary-in-the-Middle» (AiTM), lo cual les permite acceder a cuentas que tengan activada la autenticación de doble factor (2FA) distinta a una clave de seguridad de hardware.
Organización de Derechos Humanos (HRW) señaló deficiencias en las protecciones de seguridad por parte de Google, que afectó a las víctimas del ataque de phishing. Estas personas no habían notado que sus cuentas de Gmail habían sido comprometidas.
La posibilidad de solicitar datos desde Google Takeout se alinea con un programa basado en .NET llamado HYPERSCRAPE que fue documentado por primera vez por el Grupo de Análisis de Amenazas (TAG) de Google a principios de agosto, aunque HRW dijo que no pudo confirmar si la herramienta realmente se empleó en este incidente específico.
La atribución a APT42 se basa en superposiciones en el código fuente de la página de phishing con otra página de registro falsificada que, a su vez, estaba asociada a un ataque de robo de credenciales montado por un actor con vínculos con Irán (también conocido como TAG-56) contra una organización de pensadores estadounidense sin nombre.
Más información:
Deja una respuesta