Los grupos patrocinados por Irán utilizan personajes falsos de personas reales para añadir credibilidad a los correos electrónicos de ‘phishing’ diseñados para entregar ‘malware’ mediante la inyección remota de plantillas.

Uno de los grupos de ciberespionaje iraní más prolíficos y patrocinados por el Estado se dirige a investigadores de diferentes campos mediante la creación de sofisticados señuelos de spear phishing en los que utilizan varias personas falsas dentro de la misma cadena de correo electrónico para aumentar la credibilidad.

La empresa de seguridad Proofpoint está rastreando al grupo bajo el paraguas TA453, pero se solapa con la actividad que otras empresas han atribuido a Charming Kitten, PHOSPHORUS y APT42. La empresa de respuesta a incidentes Mandiant informó recientemente, con un nivel de confianza medio, de que APT42 opera en nombre de la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-IO) y se especializa en ingeniería social altamente dirigida. A partir de las campañas de mediados de 2022, TA453 llevó “su ingeniería social dirigida a un nuevo nivel, apuntando a los investigadores no sólo con una persona controlada por un actor, sino con varias”, revelaron los investigadores de Proofpoint en un nuevo informe. “Esta técnica permite aprovechar el principio psicológico de la prueba social para aprovecharse de sus objetivos y aumentar la autenticidad del spear phishing del actor de la amenaza”.

Cómo funciona la suplantación de identidad múltiple

Los recientes ataques por correo electrónico observados y analizados por Proofpoint comenzaron con cibercriminales de TA453 enviando mensajes de correo electrónico cuidadosamente elaborados a sus objetivos sobre temas de interés para ellos. Estos mensajes de correo electrónico solían hacerse pasar por otro académico o investigador que trabajaba en el mismo campo que los destinatarios. Por ejemplo, en un correo electrónico dirigido a una persona especializada en asuntos de Oriente Medio, los atacantes se hicieron pasar por Aaron Stein, director de Investigación del Foreign Policy Research Institute (FPRI), para iniciar una conversación sobre Israel, los Estados del Golfo y los Acuerdos de Abraham. En el correo electrónico, los atacantes también presentaron a Richard Wike, director de Investigación de actitudes globales del Pew Research Center, que aparecía copiado en el hilo del correo electrónico.

Ambas identidades suplantadas pertenecen a personas reales que trabajan para las respectivas instituciones en los puestos especificados en el correo electrónico. Además, un día después del mensaje inicial del personaje Aaron Stein, los atacantes respondieron al hilo de correo electrónico como Richard Wike desde su dirección de correo electrónico falsa en CC, presionando a la víctima al decir “esperando saber de ti”. Ambos mensajes tenían firmas que incluían los logotipos de las dos instituciones.

En otro caso, los atacantes se dirigieron a una persona especializada en la investigación del genoma con un correo electrónico suplantado en el que se hacía pasar por Harald Ott, un profesor de cirugía de la Facultad de Medicina de Harvard conocido por su trabajo sobre la regeneración de órganos. El correo electrónico incluía la copia no de uno, sino de dos personajes adicionales: Claire Parry, directora adjunta del Centro de Salud Universal del Programa de Salud Mundial de Chatham House, y Andrew Marshall, editor jefe de Nature Biotechnology. Cuando la víctima respondía al correo electrónico, los atacantes utilizaban al personaje Andrew Marshall para enviar un enlace a un documento malintencionado alojado en Microsoft OneDrive.

En un tercer ataque, TA453 se dirigió a dos investigadores especializados en el control de armas nucleares que trabajaban para la misma universidad utilizando una persona llamada “Carroll Doherty”. El verdadero Doherty es el director de investigación política del Pew Research Center. El mensaje copiaba a otros tres personajes: Daniel Krcmaric, profesor asociado de ciencias políticas en la Universidad Northwestern; Aaron Stein; y Sharan Grewal, miembro del Centro de Política de Oriente Medio de la Institución Brookings. Uno de los objetivos respondió al correo electrónico inicial, en el que se les pedía que revisaran un artículo, pero luego dejó de responder durante una semana, por lo que los atacantes hicieron un seguimiento con un enlace de OneDrive a un documento malicioso y protegido con contraseña titulado “The possible US-Russia clash.docx”. Cuatro días después, utilizaron el personaje de Aaron Stein para volver a enviar el documento y la contraseña para reforzar la solicitud y añadirle credibilidad.

Una técnica con recorrido

La técnica de suplantación de múltiples personas en el mismo hilo de correo electrónico no es nueva, aunque no es habitual. Proofpoint ha observado anteriormente la técnica utilizada por un grupo de amenazas rastreado como TA2520 o Cosmic Lynx que se especializa en el compromiso del correo electrónico empresarial (BEC). Los ataques BEC tienen una motivación financiera, ya que los atacantes se insertan en hilos de correo electrónico empresarial existentes utilizando cuentas comprometidas y suplantando las direcciones de correo electrónico de los participantes para convencer a un empleado, normalmente del departamento de contabilidad o finanzas de una organización, de que inicie un pago a una cuenta controlada por el atacante. Sin embargo, en la mayoría de los ataques BEC la suplantación se realiza para mantener intacta la apariencia del hilo original para la víctima, incluido el campo CC, sin que los otros participantes reales reciban una copia de los correos electrónicos falsos. Hasta que adoptaron esta técnica de suplantación de identidades múltiples, TA453 se dedicó durante mucho tiempo a suplantar identidades reales, incluyendo investigadores académicos y periodistas, pero sólo suplantaron la identidad de un individuo a la vez en sus correos electrónicos de phishing.

Inyección remota de plantillas

Los documentos DOCX maliciosos distribuidos en estos recientes ataques por TA453 utilizan una técnica conocida como inyección remota de plantillas para ejecutar código malicioso en las máquinas de las víctimas. Cuando se abre, el documento utiliza la funcionalidad existente de Word para llegar a un host remoto y descargar un archivo de plantilla DOTM que contiene secuencias de comandos de macros. La plantilla se aplica entonces al documento y las macros se ejecutan. Al parecer, en este caso, el código malicioso estaba diseñado para recopilar únicamente información sobre el sistema de la víctima, como el nombre de usuario, una lista de procesos en ejecución y la IP pública del ordenador, y luego exfiltrar esta información utilizando la API de Telegram, como se describe en un informe de julio de los investigadores de PwC.

“En este momento, Proofpoint sólo ha observado la información de balizamiento y no ha observado ninguna capacidad de explotación posterior”, confirmaron los investigadores de Proofpoint. “La falta de ejecución de código o de capacidades de comando y control dentro de las macros TA453 es anormal. Proofpoint considera que los usuarios infectados pueden estar sujetos a una explotación adicional basada en el software identificado en sus máquinas”.

-IDG.es