Detectada una campaña dirigida contra investigadores de ciberseguridad
Google ha identificado una campaña, aún en curso, dirigida hacia investigadores de ciberseguridad que trabajan en el estudio de vulnerabilidades en múltiples empresas y organizaciones, y cuya autoría se sospecha que sea de una entidad perteneciente al gobierno norcoreano, según ha declarado la empresa.
Asimismo, se ha informado de que los cibercriminales cuentan con un blog y con múltiples perfiles en plataformas de comunicación, como Twitter, LinkedIn, Telegram, Discord, Keybase y de correo electrónico, para realizar los ciberataques identificados hasta ahora.
Los atacantes, por un lado, han empleado ingeniería social contra los investigadores para infectar sus sistemas. En primer lugar, la técnica ha consistido en contactar con la víctima y pedirla si querría colaborar conjuntamente en la investigación de vulnerabilidades. Seguidamente, proporciona un proyecto de Visual Studio que contiene como añadido al exploit de la vulnerabilidad, un DLL, que es un malware personalizado para comunicarse con los dominios C&C controlados por los atacantes.
Por otro lado, los equipos de otros investigadores también se han infectado, siguiendo un mecanismo desconocido por el momento, tras visitar un artículo del blog a través de un enlace de Twitter. En este caso, se instala un servicio malicioso que establece una puerta trasera (backdoor) a la memoria de la víctima.
Google insta a los investigadores a no interactuar con personas desconocidas y separar su actividad profesional de la diaria, utilizando para ello distintos dispositivos físicos o máquinas virtuales.
[Actualización 31/03/2021] Los ciberdelincuentes han creado una nueva página web asociada a una empresa falsa denominada «SecuriElite» que ofrece pentests y evaluaciones de seguridad de software y exploits. No se tiene evidencias de que esta web ofrezca contenido malicioso, pero dispone de un enlace a la clave pública PGP que actuó como señuelo para activar un exploit del navegador en el caso del blog. Se mantiene en Google Safebrowsing como precaución.
-
25/01/2021bleepingcomputer.com
-
26/01/2021zdnet.com