Ciberespionaje: Proofpoint pone al descubierto las nuevas tácticas de phishing del grupo TA435

  • Actualidad

Campaña TA453

Los investigadores de Proofpoint han descubierto una de las campañas más sofisticadas que ha llevado a cabo el grupo de ciberespionaje TA454, vinculado a Irán. Ha utilizado phishing de credenciales para acceder a datos sensibles de política exterior, movimientos disidentes o negociaciones nucleares.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Anatomía del ataque a una cuenta privilegiada Leer 

El grupo de cibercriminales TA453, vinculado al Gobierno iraní y a los intereses de la Guardia Republicana Islámica de Irán (IRGC), ha estado haciéndose pasar por expertos británicos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres desde enero para hacerse con información confidencial. Así se desprende de una nueva investigación realizada por Proofpoint en la que se detalla la infraestructura de phishing montada por este actor de amenazas persistentes avanzadas (APT) con la que ha comprometido una web legítima de dicha institución académica para recolectar credenciales mediante enlaces de registro maliciosos. En ellos se podía iniciar sesión con proveedores de correo electrónico como Google, Yahoo, Microsoft, iCloud, Outlook, AOL, mail.ru, Email o Facebook.  

Esta operación, denominada SpoofedScholars, es una de las campañas más sofisticadas de TA453 que haya identificado esta firma de seguridad hasta la fecha. Los intentos de conexión que establecía este grupo estaban dirigidas a profesores de alto nivel de instituciones de renombre, así como a expertos y periodistas especializados en asuntos de Oriente Medio que podrían tener conocimientos sobre política exterior, movimientos disidentes iraníes o de negociaciones nucleares de Estados Unidos. Los ciberdelincuentes solían entablar conversaciones largas y muy detalladas con sus objetivos antes de pasar a la siguiente etapa de la cadena de ataque. No obstante, con una de sus víctimas, TA453 escribió directamente a una cuenta de correo personal con la URL fraudulenta sin que se hubiese establecido un contacto previo entre ambos.  

Como señuelo, TA453 intentaba atraer a sus objetivos con una invitación a una supuesta conferencia online sobre los retos de seguridad entre Estados Unidos y Oriente Medio. Según Proofpoint, los ciberdelincuentes demostraban en estos mensajes un nivel de inglés aceptable y su disposición de contactar con la víctima en tiempo real por teléfono, posiblemente para distribuir malware o realizar ataques de phishing adicionales, o bien por videoconferencia compartiendo solo audio.  

TA453 ha aumentado la sofisticación en sus ataques con el uso de una infraestructura legítima, pero comprometida; y es algo que se reflejará con toda seguridad en futuras campañas, afirman los investigadores de Proofpoint. Están convencidos de que este grupo de ciberdelincuentes seguirá innovando y suplantando a académicos de todo del mundo para hacerse con datos de interés para el Gobierno iraní y la IRGC, por lo que cualquier víctima potencial deberá ser precavida y verificar la identidad de las personas que les contactan para ofrecerles algo o hacerles llegar alguna solicitud. El uso de la autenticación multifactor añadiría una capa adicional de protección frente a ataques de phishing de credenciales como los de TA453.

La firma ha colaborado con las autoridades competentes para notificar a las víctimas de esta amenaza.