Los piratas informáticos establecieron una empresa de seguridad cibernética falsa para atacar a los expertos en seguridad

Una campaña respaldada por el gobierno de Corea del Norte dirigida a los investigadores de seguridad cibernética con malware resurgió con nuevas tácticas en su arsenal como parte de un nuevo ataque de ingeniería social.

En una actualización compartida el miércoles, el Grupo de análisis de amenazas de Google dijo que los atacantes detrás de la operación crearon una empresa de seguridad falsa llamada SecuriElite y una gran cantidad de cuentas de redes sociales en Twitter y LinkedIn en un intento de engañar a los investigadores desprevenidos para que visiten la empresa. sitio web «donde un exploit del navegador estaba esperando a ser activado».

«El nuevo sitio web afirma que la empresa es una empresa de seguridad ofensiva ubicada en Turquía que ofrece pruebas de penetración, evaluaciones de seguridad de software y exploits», dijo Adam Weidemann de TAG. Se dice que el sitio web se lanzó el 17 de marzo.

Para este propósito, se crearon un total de ocho perfiles de Twitter y siete perfiles de LinkedIn, que afirmaron ser investigadores de vulnerabilidades y personal de recursos humanos en diferentes empresas de seguridad (incluida Trend Macro, inspirada en Trend Micro), y algunos otros se hicieron pasar por jefes. ejecutivo y empleados de la empresa ficticia. Todas las cuentas han sido suspendidas desde entonces.

Como medida de precaución, Google agregó la URL del sitio web a su servicio de lista de bloqueo Safebrowsing para evitar visitas accidentales, a pesar de que no se ha encontrado que el sitio ofrezca contenido malicioso.

La campaña fue inicialmente señalada por TAG en enero de 2021, cuando salió a la luz que el adversario había creado un blog de investigación y múltiples perfiles en varias plataformas de redes sociales como Twitter, LinkedIn, Telegram, Discord y Keybase en un intento por comunicarse con los investigadores y generar confianza, solo para implementar una puerta trasera de Windows que se presentó en forma de un proyecto de Visual Studio troyano.

Tras la divulgación, los investigadores de la empresa de ciberseguridad de Corea del Sur, ENKI, revelaron un día cero en Internet Explorer que, según dijo, permitía a los piratas informáticos acceder a los dispositivos administrados por su equipo de seguridad con archivos MHTML maliciosos. Más tarde, Microsoft abordó el problema en su actualización del martes de parches para marzo de 2021.

En todo caso, el último desarrollo es otro ejemplo más de atacantes que cambian rápidamente de marcha cuando sus métodos son descubiertos y expuestos públicamente.

El motivo real detrás de los ataques aún no está claro, aunque se sospecha que el autor de la amenaza puede estar intentando hacerse un hueco sigilosamente en los sistemas para hacerse con la investigación de día cero y, en el proceso, usar esas vulnerabilidades sin parchear para organizar más ataques contra objetivos vulnerables de su elección.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática