Check Point descubre una campaña de vigilancia administrada por entidades iraníes a través de Telegram que lleva en activo 6 años
Los cibercriminales detrás de esta campaña, cuyo objetivo es tener controlados a los disidentes del régimen, empleaban distintos vectores de ataque como el secuestro de cuentas de Telegram, grabaciones telefónicas a través del micrófono del móvil y la extracción de códigos de autenticación de dos factores, entre otros.
Investigadores de Check Point, proveedor líder especializado en ciberseguridad a nivel mundial, han descubierto una campaña de vigilancia administrada por entidades iraníes contra los disidentes del régimen que lleva en activo seis años. Desde 2014, los ciberdelincuentes detrás de esta campaña están empleando múltiples vectores de ataque para espiar a sus víctimas, entre ellos el secuestro de cuentas de Telegram, la extracción de códigos de autenticación de doble factor a través de mensajes SMS, grabaciones telefónicas, el acceso a la información de la cuenta KeePass y la distribución de páginas maliciosas de phishing, utilizando para ello cuentas de servicio de Telegram falsas.
Las víctimas parecen haber sido seleccionadas al azar entre organizaciones opositoras y movimientos de resistencia como Mujahedin-e Khalq, la Organización Nacional de Resistencia de Azerbaiyán, y ciudadanos de Baluchistán. Los principales vectores de ataque utilizados por los cibercriminales son:
Documentos maliciosos como gancho
Los cibercriminales utilizaron documentos con malware para atacar a sus víctimas y robar toda la información posible almacenada en el dispositivo infectado. La carga maliciosa tiene como objetivo dos aplicaciones principalmente: Telegram Desktop y KeePass, el famoso almacenamiento de contraseñas. Las principales características del malware incluyen:
- Robo de información
- Subir los archivos de Telegram relevantes del ordenador infectado. Estos archivos permiten tomar el control total de la cuenta de la víctima.
- Robar información de la aplicación KeePass
- Subir cualquier archivo que termine con extensiones predefinidas
- Registrar los datos del ordenador portátil y hacer capturas de pantalla en el escritorio.
- Persistencia
- Implementar un mecanismo de persistencia basado en el procedimiento interno de actualización de Telegram.
Aplicación maliciosa de Android
Durante su investigación, los investigadores de Check Point descubrieron una aplicación Android maliciosa vinculada a los mismos cibercriminales. La app se disfrazaba como un servicio para ayudar a iraníes en Suecia a obtener su permiso de conducir. Este backdoor de Android contiene las siguientes características:
- Robar los mensajes SMS existentes
- Reenvía los mensajes de autenticación de doble factor a un número de teléfono proporcionado por el servidor C&C controlado por el ciberdelincuente
- Recuperar información personal como contactos y detalles de las cuentas
- Iniciar una grabación telefónica
- Realizar phishing de cuentas de Google
- Recuperar la información del dispositivo, como las aplicaciones instaladas y los procesos en ejecución
Telegram Phishing
Algunos de los sitios web relacionados con la actividad maliciosa también albergaban páginas de phishing que se hacían pasar por Telegram. Sorprendentemente, varios canales iraníes de esta aplicación emitieron advertencias contra estas páginas, afirmando que el régimen iraní estaba detrás de ellos. Asimismo, alertaron de que estos mensajes de phishing, en los que amenazaban a su destinatario diciendo que estaban haciendo un uso indebido de sus servicios y que su cuenta se bloquearía si no entraba en el enlace adjunto (phishing), fueron enviados por un bot de Telegram. Otro de los canales de esta herramienta de mensajería proporcionó capturas de pantalla del intento de phishing que mostraba que los ciberdelincuentes habían creado una cuenta que se hacía pasar por la oficial. Al principio, los atacantes enviaron un mensaje sobre una nueva actualización del Telegram para que pareciera legítima. El mensaje de phishing se envió sólo cinco días después, y apuntaba a un dominio malicioso.
“Nuestra investigación nos ha permitido percatarnos de varias cosas interesantes. Primero, hay un llamativo interés en poder espiar a través de servicios de mensajería instantánea. Aunque Telegram no se puede descifrar, es claramente susceptible de secuestro, por lo que todos los usuarios de estas u otras aplicaciones similares deben ser conscientes de los riesgos que entraña su uso. En segundo lugar, los ataques de phishing a móviles, ordenadores y páginas web pueden estar conectados dentro de la misma operación. Es decir, se gestionan de acuerdo con la inteligencia y los intereses nacionales, en contraposición a los desafíos tecnológicos. Por este motivo, desde Check Point continuaremos monitorizando diferentes zonas geográficas en todo el mundo para alertar sobre nuevas campañas de ciberamenazas», destaca Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point.
Este es un ejemplo de los ciberriesgos a los que los usuarios de todo el planeta se exponen. Por este motivo, Check Point recomienda extremar las precauciones, y recuerda la necesidad de utilizar herramientas de protección como ZoneAlarm Exteme Security, la cual cuenta con una extensión gratuita Anti-Phishing Chrome Extension que escanea y elimina sitios web antes de que el usuario llegue a insertar su información personal, alertándole de si es un sitio seguro para usar o un sitio de phishing.
. Leer artículo completo en Frikipandi Check Point descubre una campaña de vigilancia administrada por entidades iraníes a través de Telegram.