Descubren una campaña de vigilancia administrada por entidades iraníes a través de Telegram que lleva en activo 6 años

29 septiembre, 2020
6 Compartido 1,217 Visualizaciones

Los cibercriminales detrás de esta campaña empleaban distintos vectores de ataque como el secuestro de cuentas de Telegram

Investigadores de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) han descubierto una campaña de vigilancia administrada por entidades iraníes contra los disidentes del régimen que lleva en activo seis años. Desde 2014, los ciberdelincuentes detrás de esta campaña están empleando múltiples vectores de ataque para espiar a sus víctimas, entre ellos el secuestro de cuentas de Telegram, la extracción de códigos de autenticación de doble factor a través de mensajes SMS, grabaciones telefónicas, el acceso a la información de la cuenta KeePass y la distribución de páginas maliciosas de phishing, utilizando para ello cuentas de servicio de Telegram falsas.

Las víctimas parecen haber sido seleccionadas al azar entre organizaciones opositoras y movimientos de resistencia como Mujahedin-e Khalq, la Organización Nacional de Resistencia de Azerbaiyán, y ciudadanos de Baluchistán. Los principales vectores de ataque utilizados por los cibercriminales son:

Documentos maliciosos como gancho

Los cibercriminales utilizaron documentos con malware para atacar a sus víctimas y robar toda la información posible almacenada en el dispositivo infectado. La carga maliciosa tiene como objetivo dos aplicaciones principalmente: Telegram Desktop y KeePass, el famoso almacenamiento de contraseñas. Las principales características del malware incluyen:

  • Robo de información 
  • Subir los archivos de Telegram relevantes del ordenador infectado. Estos archivos permiten tomar el control total de la cuenta de la víctima.
  • Robar información de la aplicación KeePass
  • Subir cualquier archivo que termine con extensiones predefinidas
  • Registrar los datos del ordenador portátil y hacer capturas de pantalla en el escritorio.
  • Persistencia 
  • Implementar un mecanismo de persistencia basado en el procedimiento interno de actualización de Telegram.

Aplicación maliciosa de Android

Durante su investigación, los investigadores de Check Point descubrieron una aplicación Android maliciosa vinculada a los mismos cibercriminales. La app se disfrazaba como un servicio para ayudar a iraníes en Suecia a obtener su permiso de conducir. Este backdoor de Android contiene las siguientes características:

  • Robar los mensajes SMS existentes
  • Reenvía los mensajes de autenticación de doble factor a un número de teléfono proporcionado por el servidor C&C controlado por el ciberdelincuente
  • Recuperar información personal como contactos y detalles de las cuentas
  • Iniciar una grabación telefónica
  • Realizar phishing de cuentas de Google
  • Recuperar la información del dispositivo, como las aplicaciones instaladas y los procesos en ejecución

Telegram Phishing

Algunos de los sitios web relacionados con la actividad maliciosa también albergaban páginas de phishing que se hacían pasar por Telegram. Sorprendentemente, varios canales iraníes de esta aplicación emitieron advertencias contra estas páginas, afirmando que el régimen iraní estaba detrás de ellos. Asimismo, alertaron de que estos mensajes de phishing, en los que amenazaban a su destinatario diciendo que estaban haciendo un uso indebido de sus servicios y que su cuenta se bloquearía si no entraba en el enlace adjunto (phishing), fueron enviados por un bot de Telegram. Otro de los canales de esta herramienta de mensajería proporcionó capturas de pantalla del intento de phishing que mostraba que los ciberdelincuentes habían creado una cuenta que se hacía pasar por la oficial. Al principio, los atacantes enviaron un mensaje sobre una nueva actualización del Telegram para que pareciera legítima. El mensaje de phishing se envió sólo cinco días después, y apuntaba a un dominio malicioso.

“Nuestra investigación nos ha permitido percatarnos de varias cosas interesantes. Primero, hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea. Aunque Telegram no se puede descifrar, es claramente susceptible de secuestro, por lo que todos los usuarios de estas u otras aplicaciones similares deben ser conscientes de los riesgos que entraña su uso. En segundo lugar, los ataques de phishing a móviles, ordenadores y páginas web pueden estar conectados dentro de la misma operación. Es decir, se gestionan de acuerdo con la inteligencia y los intereses nacionales, en contraposición a los desafíos tecnológicos. Por este motivo, desde Check Point continuaremos monitorizando diferentes zonas geográficas en todo el mundo para alertar sobre nuevas campañas de ciberamenazas», destaca Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point.

Este es un ejemplo de los ciberriesgos a los que los usuarios de todo el planeta se exponen. Por este motivo, Check Point recomienda extremar las precauciones, y recuerda la necesidad de utilizar herramientas de protección como ZoneAlarm Exteme Security, la cual cuenta con una extensión gratuita Anti-Phishing Chrome Extension que escanea y elimina sitios web antes de que el usuario llegue a insertar su información personal, alertándole de si es un sitio seguro para usar o un sitio de phishing.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Blockchain toma cuerpo entre las grandes empresas: 4 de cada 5 directivos asegura tener iniciativas en marcha
Actualidad
12 compartido1,624 visualizaciones
Actualidad
12 compartido1,624 visualizaciones

Blockchain toma cuerpo entre las grandes empresas: 4 de cada 5 directivos asegura tener iniciativas en marcha

Vicente Ramírez - 19 septiembre, 2018

La incertidumbre regulatoria, junto con la falta de confianza, son los principales obstáculos para el desarrollo de blockchain. En 2030,…

Tres medidas de supervivencia para los CIO ante la crisis
Actualidad
5 compartido1,244 visualizaciones
Actualidad
5 compartido1,244 visualizaciones

Tres medidas de supervivencia para los CIO ante la crisis

Aina Pou Rodríguez - 24 junio, 2020

Denodo recomienda el uso de la nube y tecnologías de virtualización de datos para capear la situación El ciclo económico…

Santander lanza en España las primeras operaciones de we.trade, una plataforma blockchain que facilita la internacionalización de empresas
Actualidad
15 compartido1,534 visualizaciones
Actualidad
15 compartido1,534 visualizaciones

Santander lanza en España las primeras operaciones de we.trade, una plataforma blockchain que facilita la internacionalización de empresas

Vicente Ramírez - 5 julio, 2018

Nueve grandes bancos europeos han fundado we.trade, una nueva plataforma digital para impulsar los negocios entre empresas. Banco Santander y…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.