Telegram es uno de sus vectores de ataque y lleva 6 años en activo

Nueva alerta sobre una campaña de vigilancia administrada por entidades iraníes

27
Cámara - Vigilancia

La compañía de ciberseguridad Check Point Software Technologies Ltd. ha alertado de que sus investigadores han descubierto una campaña de vigilancia administrada por entidades iraníes contra los disidentes del régimen que lleva en activo seis años.

“Desde 2014, los ciberdelincuentes detrás de esta campaña están empleando múltiples vectores de ataque para espiar a sus víctimas, entre ellos el secuestro de cuentas de Telegram, la extracción de códigos de autenticación de doble factor a través de mensajes SMS, grabaciones telefónicas, el acceso a la información de la cuenta KeePass y la distribución de páginas maliciosas de phishing, utilizando para ello cuentas de servicio de Telegram falsas”, ha informado la compañía a través de un comunicado.

Víctimas aleatorias y principales vectores de ataque

Check Point también ha subrayado que las víctimas parecen haber sido seleccionadas al azar entre organizaciones opositoras y movimientos de resistencia como Mujahedin-e Khalq, la Organización Nacional de Resistencia de Azerbaiyán, y ciudadanos de Baluchistán. Asimismo, ha explicado detalladamente cuáles son los principales vectores de ataque utilizados por los cibercriminales:

  • Documentos maliciosos como gancho: Los cibercriminales utilizaron documentos con malware para atacar a sus víctimas y robar toda la información posible almacenada en el dispositivo infectado. La carga maliciosa tiene fundamentalmente dos aplicaciones como objetivo: Telegram Desktop y KeePass, el popular almacenamiento de contraseñas. Las principales características del malware incluyen:
    • Robo de información:
      • Subir los archivos relevantes de Telegram del ordenador infectado. Estos archivos permiten tomar el control total de la cuenta de la víctima.
      • Robar información de la aplicación KeePass.
      • Subir cualquier archivo que termine con extensiones predefinidas.
      • Registrar los datos del ordenador portátil y hacer capturas de pantalla en el escritorio.
    • Persistencia:
      • Implementar un mecanismo de persistencia basado en el procedimiento interno de actualización de Telegram.
  • Aplicación maliciosa de Android: Durante la investigación se descubrió una aplicación Android maliciosa vinculada a los mismos cibercriminales. La app se disfrazaba como un servicio para ayudar a iraníes en Suecia a obtener su permiso de conducir. Este backdoor de Android contiene las siguientes características:
    • Robar los mensajes SMS existentes.
    • Reenvía los mensajes de autenticación de doble factor a un número de teléfono proporcionado por el servidor C&C controlado por el ciberdelincuente.
    • Recuperar información personal como contactos y detalles de las cuentas.
    • Iniciar una grabación telefónica.
    • Realizar phishing de cuentas de Google.
    • Recuperar la información del dispositivo, como las aplicaciones instaladas y los procesos en ejecución.
  • Telegram Phishing: Siguiendo la información de Check Point, algunos de los sitios web relacionados con la actividad maliciosa también contenían páginas de phishing que se hacían pasar por Telegram. “Sorprendentemente, varios canales iraníes de esta aplicación emitieron advertencias contra estas páginas, afirmando que el régimen iraní estaba detrás de ellos. Asimismo, alertaron de que estos mensajes de phishing, en los que amenazaban a su destinatario diciendo que estaban haciendo un uso indebido de sus servicios y que su cuenta se bloquearía si no entraba en el enlace adjunto (phishing), fueron enviados por un bot de Telegram. Otro de los canales de esta herramienta de mensajería proporcionó capturas de pantalla del intento de phishing que mostraba que los ciberdelincuentes habían creado una cuenta que se hacía pasar por la oficial. Al principio, los atacantes enviaron un mensaje sobre una nueva actualización del Telegram para que pareciera legítima. El mensaje de phishing se envió sólo cinco días después, y apuntaba a un dominio malicioso”, explica la compañía de ciberseguridad.

Por otra parte, Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point, ha destacado las principales conclusiones que han extraído de su investigación. “Primero, hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea. Aunque Telegram no se puede descifrar, es claramente susceptible de secuestro, por lo que todos los usuarios de estas u otras aplicaciones similares deben ser conscientes de los riesgos que entraña su uso. En segundo lugar, los ataques de phishing a móviles, ordenadores y páginas web pueden estar conectados dentro de la misma operación. Es decir, se gestionan de acuerdo con la inteligencia y los intereses nacionales, en contraposición a los desafíos tecnológicos. Por este motivo, desde Check Point continuaremos monitorizando diferentes zonas geográficas en todo el mundo para alertar sobre nuevas campañas de ciberamenazas”, ha subrayado.

Artículo
Nueva alerta sobre una campaña de vigilancia administrada por entidades iraníes
Nombre
Nueva alerta sobre una campaña de vigilancia administrada por entidades iraníes
Descripcion
La empresa ha descubierto esta campaña, que está administrada por entidades iraníes y lleva 6 años activa, y ha explicado sus principales vectores de ataque.
Autor
Publico
Escudo Digital
Logo