Destapada una campaña contra investigadores de seguridad
Google ha destapado una campaña que buscaba comprometer los dispositivos de investigadores de seguridad reconocidos dentro de la comunidad.
El pasado lunes 25 de Enero, el grupo de análisis de amenazas de Google hizo pública su investigación acerca de una campaña contra investigadores de seguridad de diferentes compañías. Al parecer, la campaña se habría llevado a cabo en los últimos meses de 2020 y las primeras semanas de este mes de enero.
Según el informe publicado por Google, el origen de esta campaña podría encontrase en Corea del Norte, y probablemente haya sido respaldada por el propio gobierno.
Para llevar a cabo este ataque, los atacantes han estado creando falsas cuentas en redes sociales y publicando artículos técnicos sobre búsqueda y explotación de vulnerabilidades. De esta forma, trataban de acercarse a otros investigadores reconocidos, ganando credibilidad.
Falsas cuentas de Twitter controladas por los atacantes
Una vez ganada cierta credibilidad en sus cuentas de Twitter, estos las utilizaban para contactar con los investigadores objetivo. Tras una comunicación inicial, los atacantes les preguntaban si querían colaborar en una investigación junto a ellos, y si su víctima aceptaba, acababan enviándole un proyecto de Visual Studio para comenzar con la colaboración.
El proyecto compartido contenía una DLL que era ejecutada a través de la funcionalidad Visual Studio Build Events, que permite ejecutar comandos de Windows al llevar a cabo la construcción del proyecto. La DLL se trata de un malware que conecta al servidor de control para proporcionar el control del sistema a los atacantes.
Comando ejecutado durante la construcción del proyecto. Ejecuta la DLL maliciosa
Además de utilizar esta estrategia de ingeniería social para lograr comprometer el sistema de los investigadores, también se han detectado equipos de investigadores comprometidos para los que no se proporcionó ningún proyecto de Visual Studio. En estos casos solamente se compartió un enlace al blog en el que los atacantes publicaban artículos técnicos.
Al parecer, los enlaces al blog compartidos con las víctimas podrían estar explotando una vulnerabilidad no conocida de Google Chrome, que sería el vector de entrada para infectar finalmente a estos investigadores. Por ahora se desconoce cuál puede ser la vulnerabilidad explotada, aunque las víctimas habrían accedido en un sistema Windows 10 con Google Chrome, ambos actualizados a la última versión.
Además de Twitter, los atacantes han utilizado otras redes sociales y plataformas, como Telegram, Discord, LinkedIn, Keybase o por email, para contactar con diferentes investigadores de todo el mundo.
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.