Los hackers están utilizando una nueva e inteligente técnica de phishing para crear hilos de correo electrónico con múltiples respuestas para engañar a las posibles víctimas haciéndoles creer que los mensajes falsos son legítimos.
La firma de seguridad cibernética Proofpoint ha identificado al grupo que despliega estos llamados correos electrónicos de “suplantación de identidad de varias personas” como TA453. La compañía vinculó previamente a TA453 con Irán y dice que sus actividades se superponen con otros grupos llamados Charming Kitten, Phosphorous y APT42.
Proofpoint dijo el martes que notó un aumento reciente en este tipo de correos electrónicos de phishing a fines de junio, cuando los atacantes que se hacían pasar por investigadores en un correo electrónico hicieron referencia a otro investigador que luego respondió al hilo.
La táctica está diseñada para crear una impresión más fuerte de que la actividad es real, dijeron los investigadores, al emplear un fenómeno psicológico conocido como ” prueba social “. A veces denominada “mentalidad de rebaño”, la idea es que es más probable que las personas participen si ven que otros también lo hacen.
La investigación aterriza en medio de una serie de desarrollos relacionados con otros ciberataques iraníes. La semana pasada, por ejemplo, la firma de seguridad cibernética Mandiant clasificó una variedad de actividades de piratería vinculadas a Irán que datan de varios años bajo un paraguas de amenazas denominado APT42 . El mismo día, Albania anunció que rompería las relaciones diplomáticas con Irán por una serie de ataques cibernéticos a mediados de julio que tenían como objetivo los sistemas gubernamentales allí.
Tanto el gobierno estadounidense como el británico respaldaron la evaluación de los albaneses sobre la responsabilidad iraní, y Washington dio un paso más el viernes al anunciar sanciones contra el Ministerio de Inteligencia iraní y su líder.
Varios esquemas de phishing de lanza vinculados a Irán son conocidos por establecer una relación con víctimas potenciales durante largos períodos de tiempo. Incluso dentro de TA453, señalaron, algunas campañas “participan en conversaciones benignas con los objetivos durante semanas antes de entregar enlaces maliciosos”, mientras que otras tienden a “enviar inmediatamente un enlace malicioso en el correo electrónico inicial”.
TA453, señalaron los investigadores, generalmente se ha hecho pasar por un periodista o un individuo relacionado con la política que afirma querer trabajar o colaborar en la investigación para apuntar a las víctimas. “Las conversaciones benignas que eventualmente conducen a enlaces de recolección de credenciales son características de la actividad de TA453”, dijeron los investigadores.
En un ejemplo, los hackers se hicieron pasar por un investigador del Instituto de Investigación de Política Exterior, un grupo de expertos legítimo con sede en Filadelfia centrado en la política internacional. En el correo electrónico, el investigador hizo referencia a otro investigador del Centro de Investigación Pew, a quien se le envió una copia en el correo electrónico.
Un día después del correo electrónico inicial enviado por el primer investigador, el segundo investigador respondió al hilo y le dijo a la víctima no identificada que los dos estaban “esperando saber de usted”.
En ese caso, no se enviaron documentos maliciosos. Pero en otro, el grupo empleó la misma táctica utilizando un investigador inicial y tres cuentas adicionales controladas por hackers, a quienes se les envió una copia en el correo electrónico inicial. En ese caso, la víctima inicialmente respondió al correo electrónico y el investigador inicial envió un enlace de Microsoft OneDrive que contenía un documento de Microsoft Word.
Después de que la víctima no respondió a los correos electrónicos adicionales, uno de los tres “investigadores” adicionales eliminó al primer investigador del hilo e intentó que la víctima descargara el documento.
“Todos los actores de amenazas están en constantes estados de iteración de sus herramientas, tácticas y técnicas (TTP), avanzando algunas mientras desaprobando otras”, dijeron los investigadores. Incluso con MPI, escribieron, un siguiente paso potencial es intentar enviar un correo electrónico en blanco y luego responder a ese correo electrónico en blanco mientras se incluyen varios “amigos” en la línea cc como un posible intento de eludir la detección de seguridad.
El cargo En qué consiste la nueva técnica de phishing “social proof” o “herd mentality” utilizada por los grupos APT en 2022 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario