Los ciberdelincuentes se reinventan constantemente a sí mismos y a sus métodos de piratería. Una de las últimas "innovaciones" en el mundo de la estafa cibernética se centra en los ciberdelincuentes dirigidos a los investigadores de ciberseguridad..
Ciberdelincuentes que se hacen pasar por investigadores de ciberseguridad… dirigidos a investigadores de ciberseguridad
"En Enero, el Threat Analysis Group documentó una campaña de piratería, que pudimos atribuir a una entidad respaldada por el gobierno de Corea del Norte, dirigidos a investigadores de seguridad. El 17 de marzo, los mismos actores detrás de esos ataques crearon un nuevo sitio web con perfiles de redes sociales asociados para una empresa falsa llamada "SecuriElite,"Adam Weidemann, del grupo de análisis de amenazas de Google, escribió en un artículo que detalla los ataques.
En otras palabras, la misma campaña, inicialmente detectado a principios de 2021, ahora está activo de nuevo, utilizando un sitio web de blog de investigación y varios perfiles de redes sociales. Más particularmente, los ciberdelincuentes crearon ocho perfiles de Twitter y siete de LinkedIn, supuestamente perteneciente a investigadores de vulnerabilidades y especialistas en recursos humanos de varias empresas de seguridad, tal como Trend Micro.
Utilizaron los perfiles para publicar enlaces al sitio web., "Publicar videos de sus supuestos exploits y para amplificar y retuitear publicaciones de otras cuentas que controlan". El blog de investigación contenía reseñas y análisis de vulnerabilidades divulgadas públicamente., también incluye publicaciones de invitados de "investigadores de seguridad legítimos involuntarios". Todos estos esfuerzos probablemente se hicieron para crear credibilidad frente a la comunidad de ciberseguridad..
Investigadores de seguridad específicos dirigidos
Resulta que se apuntó a investigadores específicos. Los novedosos trucos de ingeniería social se utilizaron para establecer comunicaciones y preguntar al experto objetivo si quería colaborar en investigación de vulnerabilidad. Una vez que el investigador estuvo de acuerdo, los ciberdelincuentes les proporcionarían un proyecto de Visual Studio que contenía el código fuente para explotar la falla en particular. También se incluyó un archivo DLL adicional que tenía que ejecutarse a través de Visual Studio Build Events.
“La DLL es un malware personalizado que comenzaría a comunicarse de inmediato con los dominios C2 controlados por el actor. Se puede ver un ejemplo del evento VS Build en la siguiente imagen,"Explica el informe inicial que detalla el ataque.
El sitio actualmente activo se presenta como una empresa de seguridad ofensiva ubicada en Turquía.. La compañía supuestamente ofrece pruebas de penetración., evaluación de la seguridad del software, y explota.
El sitio web incluye un enlace a la clave pública PGP de los atacantes., como se ve en sus sitios anteriores. Los perfiles de redes sociales creados “continúan la tendencia de publicar como compañeros investigadores de seguridad interesados en la explotación y la seguridad ofensiva,”Según el informe.
En conclusión…
No se ha detectado que este sitio web ofrezca contenido malicioso todavía.. Sin embargo, el Threat Analysis Group lo agregó a Google Safebrowsing como medida de precaución. "Según su actividad, seguimos creyendo que estos actores son peligrosos, y probablemente tenga más días 0,”Concluyeron los investigadores.
En otro ataque reciente, los desarrolladores de software fueron el objetivo de malware creado específicamente. El proyecto Xcode troyanizado estaba dirigido a desarrolladores de iOS. El proyecto era una versión maliciosa de un legítimo, proyecto de código abierto disponible en GitHub, permitiendo a los programadores de iOS utilizar varias funciones avanzadas para animar la barra de pestañas de iOS.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: