¿Puede resultar peligroso que aceptes una cuenta de Facebook de otra persona como amiga siendo esta falsa? Sí, bastante. Sobre todo si trabajas en la defensa de un país de manera directa o indirecta y acabas compartiendo cierta información con esa supuesta usuaria.
En resumidas cuentas, esto es lo que habría estado llevando a cabo el grupo de ciberdelincuencia TA456, alineado con los intereseses del Estado iraní.
Según señala una investigación de la empresa de ciberseguridad y cumplimiento normativo Proofpoint, durante años utilizaron dicha técnica para manipular a un empleado con acceso a información sensible. Se trataba de un trabajador de una pequeña filial de defensa aeroespacial.
Lo hicieron generando el perfil de una usuaria que respondía al nombre inventado de "Marcella Flores" y ganándose su confianza tanto en diferentes plataformas de comunicación corporativas, como de uso personal.
Esta relación de "amistad virtual" se había entablado allá por 2019. Durante más de ocho meses, desde esta identidad falsa se mandó al objetivo de TA456 una serie de emails y fotografías, así como un vídeo sin intención maliciosa, para mostrar su aparente veracidad. Algunos de los documentos se enviaban mediante enlaces de OneDrive.
Dos años después llegó el malware
No ha sido hasta principios de este año cuando TA456 envió un malware a su objetivo a través de una cadena de correos en Gmail. Se trataba de un documento cargado de macros con contenido muy personalizado diseñado para realizar un reconocimiento en la máquina del objetivo.
Una vez que el malware -al que Proofpoint ha llamado LEMPO- establecía la persistencia e inspeccionaba la máquina infectada, guardaba los detalles en el host, exfiltraba información sensible a una cuenta de email controlada por TA456 a través de SMTPS y luego eliminaba su rastro borrando los artefactos del host de ese día.
La cuenta de Marcella Flores mostraba bastantes similitudes con otros perfiles falsos utilizados por grupos de APT (amenaza persistente avanzada) iraníes para dirigirse mediante ingeniería social a objetivos de valor en cuestiones de inteligencia. Dentro de su red de amistades se podían encontrar otros empleados de compañías de defensa en puntos geográficamente dispersos de la supuesta ubicación de Marcella en Liverpool (Reino Unido).
TA456 lleva a cabo habitualmente ataques contra personas empleadas en diferentes subcontratas y filiales del sector de la defensa aeroespacial, sobre todo, en Estados Unidos y con proyectos en Oriente Medio. En este caso la persona a la que apuntaba “Marcella Flores” trabajaba como responsable de la cadena de suministro de una de estas empresas. Posiblemente se intentaba atacar al contratista principal mediante proveedores menos seguros que comparten un entorno de red.
Desde la compañía de seguridad sospechan que el perfil falso de Marcella Flores quizás no haya sido el único utilizado por estos diberdelincuentes para distribuir su malware. La empresa de ciberseguridad reconoce que sus amenazas son unas de las más ingeniosas que han analizado hasta la fecha.
La propia empresa de Mark Zuckerberg anunció el pasado 15 de julio que había eliminado varias cuentas de Facebook e Instagram, incluyendo la de la ficticia Marcella, al formar parte de una acción de ciberespionaje.
Charming Kitten, especialista en simular identidades
Hace un par de semanas también desde Proofpoint alertaban de cómo TA453 había llevado una campaña de phishing muy sofisticada. En la operación, denominada SpoofedScholars, los atacantes habían estado, desde enero haciéndose pasar por académicos británicos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres con el fin de sustraer información sensible y confidencial.