El Threat Analysis Group (TAG) de Google reveló el jueves que había actuado para bloquear hasta 36 dominios maliciosos operados por grupos de piratería de India, Rusia y los Emiratos Árabes Unidos.
De manera análoga al ecosistema de software de vigilancia , las empresas de piratería equipan a sus clientes con capacidades para permitir ataques dirigidos a empresas, activistas, periodistas, políticos y otros usuarios de alto riesgo.
Donde los dos se diferencian es que mientras los clientes compran el software espía de proveedores comerciales y luego lo implementan ellos mismos, se sabe que los operadores detrás de los ataques de pirateo a sueldo realizan las intrusiones en nombre de sus clientes para ocultar su papel.
«El panorama de piratería a sueldo es fluido, tanto en la forma en que los atacantes se organizan como en la amplia gama de objetivos que persiguen en una sola campaña a instancias de clientes dispares», dijo Shane Huntley, director de Google TAG, en un reporte.
«Algunos atacantes de piratería anuncian abiertamente sus productos y servicios a cualquiera que esté dispuesto a pagar, mientras que otros operan de manera más discreta vendiendo a una audiencia limitada».
Se dice que una campaña reciente montada por un operador indio de piratería informática se centró en una empresa de TI en Chipre, una institución educativa en Nigeria, una empresa de tecnología financiera en los Balcanes y una empresa de compras en Israel, lo que indica la amplitud de las víctimas.
El equipo indio, que Google TAG dijo que ha estado rastreando desde 2012, se ha relacionado con una serie de ataques de phishing de credenciales con el objetivo de recopilar información de inicio de sesión asociada con agencias gubernamentales, Amazon Web Services (AWS) y cuentas de Gmail.
La campaña consiste en enviar correos electrónicos de phishing selectivo que contienen un enlace falso que, cuando se hace clic, abre una página de phishing controlada por el atacante y diseñada para desviar las credenciales ingresadas por usuarios desprevenidos. Los objetivos incluyeron los sectores de gobierno, salud y telecomunicaciones en Arabia Saudita, los Emiratos Árabes Unidos y Bahrein.
Google TAG atribuyó a los actores indios de pirateo a sueldo a una empresa llamada Rebsec, que, según su cuenta inactiva de Twitter , es la abreviatura de » Rebellion Securities » y tiene su sede en la ciudad de Amritsar. El sitio web de la compañía , inactivo por «mantenimiento» al momento de escribir, también afirma ofrecer servicios de espionaje corporativo.
Un conjunto similar de ataques de robo de credenciales dirigidos a periodistas, políticos europeos y organizaciones sin fines de lucro se ha relacionado con un actor ruso llamado Void Balaur , un grupo de mercenarios cibernéticos documentado por primera vez por Trend Micro en noviembre de 2021.
En los últimos cinco años, se cree que el colectivo ha seleccionado cuentas en los principales proveedores de correo web como Gmail, Hotmail y Yahoo! y proveedores regionales de correo web como abv.bg, mail.ru, inbox.lv y UKR.net.
Por último, TAG también detalló las actividades de un grupo con sede en los Emiratos Árabes Unidos y tiene conexiones con los desarrolladores originales de un troyano de acceso remoto llamado njRAT (también conocido como H-Worm o Houdini ).
Los ataques de phishing, como descubrió anteriormente Amnistía Internacional en 2018, implican el uso de señuelos de restablecimiento de contraseña para robar credenciales de objetivos en organizaciones gubernamentales, educativas y políticas en el Medio Oriente y África del Norte.
Luego del compromiso de la cuenta, ambos actores de amenazas tienen un patrón de mantener la persistencia al otorgar un token OAuth a una aplicación de correo electrónico legítima como Thunderbird, generar una contraseña de aplicación para acceder a la cuenta a través de IMAP o vincular la cuenta de Gmail de la víctima a una cuenta de propiedad del adversario. cuenta en un proveedor de correo de terceros.
Los hallazgos llegan una semana después de que Google TAG revelara detalles de una compañía italiana de software espía llamada RCS Lab, cuya herramienta de piratería » Ermitaño » se utilizó para atacar a los usuarios de Android e iOS en Italia y Kazajstán.