Un actor de amenazas respaldado por el estado iraní está apuntando a individuos asociados con las campañas presidenciales de Harris y Trump, según el Grupo de Análisis de Amenazas (TAG) de Google. Se ha observado que el grupo, APT42, intenta comprometer las cuentas de correo electrónico de personas asociadas con las respectivas campañas presidenciales de EE. UU. mediante ataques de phishing. TAG dijo que APT42 atacó las cuentas de correo electrónico personales de aproximadamente una docena de afiliados al presidente Biden y al expresidente Trump, incluidos funcionarios actuales y anteriores del gobierno de EE. UU., en mayo y junio. Estas campañas han dado lugar a la violación exitosa de múltiples cuentas, incluida la cuenta personal de Gmail de un consultor político de alto perfil. «Hoy, TAG continúa observando intentos fallidos de APT42 de comprometer las cuentas personales de personas afiliadas al presidente Biden, la vicepresidenta Harris y el expresidente Trump, incluidos funcionarios gubernamentales actuales y anteriores e individuos asociados con las campañas», dijeron los investigadores. El nuevo análisis sigue a un informe de Microsoft del 8 de agosto que detallaba cuatro operaciones de influencia distintas habilitadas cibernéticamente por actores iraníes dirigidas al ciclo de elecciones presidenciales de EE. UU. Se sabe que APT42 ataca a figuras militares y políticas en apoyo de los objetivos geopolíticos de Irán. Ataques intensificados a Israel Los investigadores de Google TAG también revelaron que APT42 ha intensificado sus ataques a usuarios con sede en Israel desde abril de 2024. Estos ataques de phishing se han dirigido principalmente a personas con conexiones con el sector militar y de defensa israelí, así como a diplomáticos, académicos y ONG. En los seis meses de febrero a julio de 2024, TAG descubrió que Estados Unidos e Israel representaron aproximadamente el 60% de los ataques geográficos conocidos de APT. «Estas actividades demuestran el esfuerzo agresivo y multifacético del grupo para alterar rápidamente su enfoque operativo en apoyo de las prioridades políticas y militares de Irán», escribieron los investigadores. Ataques de phishing personalizados de APT42 Las operaciones de phishing selectivo de APT42 son sofisticadas y utilizan una variedad de tácticas, incluido el alojamiento de malware, páginas de phishing y redirecciones maliciosas. «APT42 es un actor de amenazas sofisticado y persistente y no muestra signos de detener sus intentos de atacar a los usuarios y desplegar tácticas novedosas», advirtieron los investigadores de TAG. El grupo crea regularmente cuentas o dominios que se hacen pasar por organizaciones que podrían ser de interés para los objetivos, como grupos de expertos políticos. También registrará dominios typosquat muy cerca de los dominios legítimos de las organizaciones que suplantan para parecer más legítimos. Una vez que se identifica un objetivo, APT42 suele enviar enlaces de phishing directamente en el cuerpo del correo electrónico o como un enlace en un archivo PDF adjunto que, por lo demás, es inofensivo. En estos casos, atrae a su objetivo con un señuelo de ingeniería social para configurar una reunión de vídeo y, a continuación, enlazar a una página de destino en la que se le solicita al objetivo que inicie sesión y se le envía a una página de phishing. Otro enfoque común de APT42 es enviar archivos PDF adjuntos legítimos como parte de un señuelo de ingeniería social para generar confianza y animar al objetivo a participar en otras plataformas como Signal, Telegram o WhatsApp. A continuación, los atacantes utilizan estas plataformas para enviar un kit de phishing para recopilar credenciales. Estos kits de phishing se dirigen a una variedad de páginas de inicio de sesión, incluidas: GCollection/LCollection/YCollection: una herramienta capaz de recopilar credenciales de usuarios de Google, Hotmail y Yahoo DWP: un kit de phishing de navegador dentro del navegador que a menudo se distribuye a través de un acortador de URL APT42 ha desarrollado un sólido conocimiento de los proveedores de correo electrónico a los que se dirigen, a menudo investigando las configuraciones de seguridad de las cuentas que se atacan utilizando flujos de trabajo de inicio de sesión o recuperación fallidos para determinar el segundo factor configurado para la autenticación para orientar mejor sus intentos de phishing iniciales. Además, APT42 realiza un reconocimiento significativo de los objetivos, utilizando herramientas de investigación de redes sociales y marketing de código abierto para identificar direcciones de correo electrónico personales que podrían no tener autenticación multifactor (MFA) predeterminada u otras medidas de protección implementadas.