jueves, 28 de enero de 2021

Nueva campaña de malware que busca infectar a investigadores de ciberseguridad

Campaña de malware en redes sociales

      El grupo Threat Analysis Group (TAG) de Google ha identificado una nueva campaña que buscaba infectar a ciertos investigadores de seguridad que trabajan investigando vulnerabilidades en diferentes empresas y organizaciones.

Las personas detrás de este ataque utilizan varias formas para dirigirse a los investigadores. Para intentar crear una credibilidad y acercase a su objetivo que es el investigador los atacantes crearon un blog de investigaciones y varios perfiles en redes sociales para interactuar con sus objetivos, siendo estas cuentas todas falsas. Con estos perfiles publicaban enlaces a su blog, varios videos demostrando supuestos exploits (todos falsos) y para dar más visibilidad a las otras cuentas que ellos mismos controlan. Los medios utilizados por estos investigadores falsos han sido Twitter, LinkedIn, Telegram, Discord, Keybase y correos, por el momento se conocen más de diez perfiles utilizados por los atacantes.

Los criminales utilizarían los videos de supuestos exploits falsos para intentar ganarse la confianza de las víctimas para posteriormente preguntar si querían colaborar en la investigación. Los criminales compartían un proyecto en Visual Studio a las víctimas donde estaría el código fuente para explotar la vulnerabilidad, además de una DLL adicional que sería ejecutada una vez se ejecute el propio proyecto. Está DLL es el malware que empezaría a comunicarse con los dominios C2 controlados por los criminales.

Además de infectarse al ejecutar el proyecto, varios investigadores se han visto comprometidos después de visitar el blog de los criminales. En todos los casos donde han sido infectados vía blog, las víctimas accedieron desde un enlace de Twittter donde accedían a un artículo alojado en blog.br0vvnn[.]io, para poco después instalarse un servicio malicioso en el dispositivo de la víctima.

Por el momento el TAG no puede confirmar el mecanismo de compromiso, lo que si se sabe es que las víctimas todas ejecutaban una versión de Windows 10 y Chrome actualizada y parcheada.


No hay comentarios:

Publicar un comentario