La compañía de ciberseguridad Check Point Software Technologies Ltd. ha alertado de que sus investigadores han descubierto una campaña de vigilancia administrada por entidades iraníes contra los disidentes del régimen que lleva en activo seis años.
"Desde 2014, los ciberdelincuentes detrás de esta campaña están empleando múltiples vectores de ataque para espiar a sus víctimas, entre ellos el secuestro de cuentas de Telegram, la extracción de códigos de autenticación de doble factor a través de mensajes SMS, grabaciones telefónicas, el acceso a la información de la cuenta KeePass y la distribución de páginas maliciosas de phishing, utilizando para ello cuentas de servicio de Telegram falsas", ha informado la compañía a través de un comunicado.
Víctimas aleatorias y principales vectores de ataque
Check Point también ha subrayado que las víctimas parecenhaber sido seleccionadas al azar entre organizaciones opositoras y movimientosde resistencia como Mujahedin-e Khalq, la Organización Nacional de Resistenciade Azerbaiyán, y ciudadanos de Baluchistán. Asimismo, ha explicadodetalladamente cuáles son los principales vectores de ataque utilizados por loscibercriminales:
-
Documentosmaliciosos como gancho: Los cibercriminales utilizaron documentos conmalware para atacar a sus víctimas y robar toda la información posiblealmacenada en el dispositivo infectado. La carga maliciosa tiene fundamentalmentedos aplicaciones como objetivo: Telegram Desktop y KeePass, el popularalmacenamiento de contraseñas. Las principales características del malwareincluyen:
- Robo de información:
- Subir los archivos relevantes de Telegram delordenador infectado. Estos archivos permiten tomar el control total de lacuenta de la víctima.
- Robar información de la aplicación KeePass.
- Subir cualquier archivo que termine conextensiones predefinidas.
- Registrar los datos del ordenador portátil yhacer capturas de pantalla en el escritorio.
- Persistencia:
- Implementar un mecanismo de persistencia basadoen el procedimiento interno de actualización de Telegram.
- Robo de información:
-
Aplicación maliciosa de Android: Durante la investigación se descubrió una aplicación Android maliciosa vinculada a los mismos cibercriminales. La app se disfrazaba como un servicio para ayudar a iraníes en Suecia a obtener su permiso de conducir. Este backdoor de Android contiene las siguientes características:
- Robar los mensajes SMS existentes.
- Reenvía los mensajes de autenticación de doble factor a un número de teléfono proporcionado por el servidor C&C controlado por el ciberdelincuente.
- Recuperar información personal como contactos y detalles de las cuentas.
- Iniciar una grabación telefónica.
- Realizar phishing de cuentas de Google.
- Recuperar la información del dispositivo, como las aplicaciones instaladas y los procesos en ejecución.
- TelegramPhishing: Siguiendo la información de Check Point, algunos de los sitiosweb relacionados con la actividad maliciosa también contenían páginas dephishing que se hacían pasar por Telegram. "Sorprendentemente, varios canales iraníes de esta aplicación emitieronadvertencias contra estas páginas, afirmando que el régimen iraní estaba detrásde ellos. Asimismo, alertaron de que estos mensajes de phishing, en los queamenazaban a su destinatario diciendo que estaban haciendo un uso indebido desus servicios y que su cuenta se bloquearía si no entraba en el enlace adjunto(phishing), fueron enviados por un bot de Telegram. Otro de los canales de estaherramienta de mensajería proporcionó capturas de pantalla del intento dephishing que mostraba que los ciberdelincuentes habían creado una cuenta que sehacía pasar por la oficial. Al principio, los atacantes enviaron un mensajesobre una nueva actualización del Telegram para que pareciera legítima. Elmensaje de phishing se envió sólo cinco días después, y apuntaba a un dominiomalicioso", explica la compañía de ciberseguridad.
Por otra parte, Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point, ha destacado las principales conclusiones que han extraído de su investigación. "Primero, hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea. Aunque Telegram no se puede descifrar, es claramente susceptible de secuestro, por lo que todos los usuarios de estas u otras aplicaciones similares deben ser conscientes de los riesgos que entraña su uso. En segundo lugar, los ataques de phishing a móviles, ordenadores y páginas web pueden estar conectados dentro de la misma operación. Es decir, se gestionan de acuerdo con la inteligencia y los intereses nacionales, en contraposición a los desafíos tecnológicos. Por este motivo, desde Check Point continuaremos monitorizando diferentes zonas geográficas en todo el mundo para alertar sobre nuevas campañas de ciberamenazas", ha subrayado.