El set de malware BlackSmith a través de falsas invitaciones a podcast
- Actualidad
Proofpoint identifica y describe un sofisticado ciberataque dirigido específicamente a una “destacada figura religiosa” judía que partió de una falsa invitación a un podcast y que la compañía ha atribuido al grupo de ciberdelincuencia iraní TA453.
Proofpoint ha puesto sobre la mesa un reciente ejemplo de ciberguerra. Según explica la compañía, hace un mes, a finales de julio, el grupo de ciberdelincuencia TA453 suplantó la identidad del director de investigación del Institute for the Study of War (ISW) para enviar por email una falta invitación a un podcast a una “destacada figura religiosa” judía.
Una vez recibida la respuesta, le enviaron una URL de DocSend protegida por contraseña que conducía a un documento con el enlace de un podcast legítimo de ISW. Después de la consiguiente respuesta, le enviaron una URL de Google Drive con un ZIP denominado “Podcast Plan-2024”, que contenía el LNK “Podcast Plan 2024.lnk”, dentro del que estaba el set de herramientas de malware BlackSmith.
BlackSmith entregó entonces un troyano PowerShell al que la compañía ha denominado AnvilEcho. El script incorporaba “una serie de funciones para cifrar, codificar y filtrar información, y termina con las dos funciones de nivel superior de Redo-It y Do-It”. Si antes TA453 utilizaba módulos de malware, ahora el grupo ha creado un único script de gran tamaño.
La compañía explica que no ha podido vincular directamente al grupo T1453 con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), aunque considera que “actúan en apoyo de sus intereses y de los del gobierno iraní”. Lo que no resulta descabellado teniendo en cuenta la actual situación geopolítica mundial.
Proofpoint señala que su “análisis de esta campaña del grupo TA453 nos hace pensar que los desarrolladores que trabajan para ellos no han renunciado a usar “backdoors” modulares en PowerShell. Su objetivo es complicar la cadena de infección para evitar las detecciones mientras recopilan información […] TA453 utiliza muchas técnicas diferentes de ingeniería social para tratar de convencer a los objetivos a participar con contenido malicioso. Al igual que la suplantación de múltiples personalidades, el envío de enlaces legítimos a un objetivo y la referencia a un podcast real de la organización pueden generar confianza en el usuario”.