Un nuevo método de ingeniería social puesto en práctica por actores estatales norcoreano dirige sus ataques contra investigadores de ciberseguridad, como descubrió el Grupo de Amenazas (TAG, por sus siglas en ingles) de Google.
La campaña identificada emplea la ingeniería social para crear credibilidad y conectar con investigadores de ciberseguridad, como explican en el blog oficial de TAG. Para ello, se basaron en la presencial habitual de investigadores en redes sociales, que aprovechan estos canales para compartir sus conocimientos y alertaban de riesgos.
En el caso de los ciberatacantes, crearon un blog propio, donde mostraban videos con algunas de la vulnerabilidad que supuestamente habían identificado, y varios perfiles en Twitter, que utilizaban tanto para difundir las publicaciones del blog como para contactar con otros investigadores. También actuaron a través de Linkedin, Telegram, Discord, Keybase y el correo electrónico.
Según explican desde TAG, el blog contenía reseñas y análisis de vulnerabilidades que ya habían sido hecho públicos, y en al menos un caso, el “exploit” sobre una vulnerabilidad parcheada de Windows Defener que muestran es falso.
Todo este despliegue en redes sociales tenía como fin contactar con otros investigadores de ciberseguridad, a quienes solicitaban su colaboración para investigar vulnerabilidades. Si accedían, facilitan un Proyecto de Visual Studio, con un malware personalizado.
Junto a este método de ingeniería social, TAG señala que algunos investigadores se vieron comprometidos tras visitar el blog, a partir de un enlace compartido en Twitter, que instalaba un malware en sus equipos y creaba una puerta trasera en la memoria que se comunicaba con un servidor de comando y control.
Fuente: DPA