Destapada una campaña contra investigadores de seguridad

 Google ha destapado una campaña que buscaba comprometer los dispositivos de investigadores de seguridad reconocidos dentro de la comunidad.

El pasado lunes 25 de Enero, el grupo de análisis de amenazas de Google hizo pública su investigación acerca de una campaña contra investigadores de seguridad de diferentes compañías. Al parecer, la campaña se habría llevado a cabo en los últimos meses de 2020 y las primeras semanas de este mes de enero.

Según el informe publicado por Google, el origen de esta campaña podría encontrase en Corea del Norte, y probablemente haya sido respaldada por el propio gobierno.

Para llevar a cabo este ataque, los atacantes han estado creando falsas cuentas en redes sociales y publicando artículos técnicos sobre búsqueda y explotación de vulnerabilidades. De esta forma, trataban de acercarse a otros investigadores reconocidos, ganando credibilidad.

Falsas cuentas de Twitter controladas por los atacantes

Una vez ganada cierta credibilidad en sus cuentas de Twitter, estos las utilizaban para contactar con los investigadores objetivo. Tras una comunicación inicial, los atacantes les preguntaban si querían colaborar en una investigación junto a ellos, y si su víctima aceptaba, acababan enviándole un proyecto de Visual Studio para comenzar con la colaboración.

El proyecto compartido contenía una DLL que era ejecutada a través de la funcionalidad Visual Studio Build Events, que permite ejecutar comandos de Windows al llevar a cabo la construcción del proyecto. La DLL se trata de un malware que conecta al servidor de control para proporcionar el control del sistema a los atacantes.

Comando ejecutado durante la construcción del proyecto. Ejecuta la DLL maliciosa

Además de utilizar esta estrategia de ingeniería social para lograr comprometer el sistema de los investigadores, también se han detectado equipos de investigadores comprometidos para los que no se proporcionó ningún proyecto de Visual Studio. En estos casos solamente se compartió un enlace al blog en el que los atacantes publicaban artículos técnicos.

Al parecer, los enlaces al blog compartidos con las víctimas podrían estar explotando una vulnerabilidad no conocida de Google Chrome, que sería el vector de entrada para infectar finalmente a estos investigadores. Por ahora se desconoce cuál puede ser la vulnerabilidad explotada, aunque las víctimas habrían accedido en un sistema Windows 10 con Google Chrome, ambos actualizados a la última versión.

Además de Twitter, los atacantes han utilizado otras redes sociales y plataformas, como Telegram, Discord, LinkedIn, Keybase o por email, para contactar con diferentes investigadores de todo el mundo.

Fuente: UnaAlDia

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS