15 de agosto de 2024Ravie LakshmananAtaque cibernético / Ingeniería social Las organizaciones sin fines de lucro rusas y bielorrusas, los medios de comunicación independientes rusos y las organizaciones no gubernamentales internacionales activas en Europa del Este se han convertido en el objetivo de dos campañas de phishing separadas orquestadas por actores de amenazas cuyos intereses se alinean con los del gobierno ruso. Si bien una de las campañas, denominada River of Phish, se ha atribuido a COLDRIVER, un colectivo adversario con vínculos con el Servicio Federal de Seguridad de Rusia (FSB), el segundo conjunto de ataques se ha considerado el trabajo de un grupo de amenazas previamente indocumentado con el nombre en código COLDWASTREL. Los objetivos de las campañas también incluyeron a destacadas figuras de la oposición rusa en el exilio, funcionarios y académicos del grupo de expertos y el espacio político de EE. UU., y un ex embajador de EE. UU. en Ucrania, según una investigación conjunta de Access Now y Citizen Lab. «Ambos tipos de ataques estaban altamente diseñados para engañar mejor a los miembros de las organizaciones objetivo», dijo Access Now. «El patrón de ataque más común que observamos fue un correo electrónico enviado desde una cuenta comprometida o desde una cuenta que parecía similar a la cuenta real de alguien que la víctima podía conocer». River of Phish implica el uso de tácticas de ingeniería social personalizadas y altamente plausibles para engañar a las víctimas para que hagan clic en un enlace incrustado en un documento PDF señuelo, que las redirecciona a una página de recolección de credenciales, pero no antes de identificar a los hosts infectados en un probable intento de evitar que las herramientas automatizadas accedan a la infraestructura de segunda etapa. Los mensajes de correo electrónico se envían desde cuentas de correo electrónico de Proton Mail que se hacen pasar por organizaciones o individuos que eran familiares o conocidos por las víctimas. «A menudo observamos que el atacante omitía adjuntar un archivo PDF al mensaje inicial solicitando una revisión del archivo ‘adjunto'», dijo Citizen Lab. «Creemos que esto fue intencional y tenía la intención de aumentar la credibilidad de la comunicación, reducir el riesgo de detección y seleccionar solo objetivos que respondieron al enfoque inicial (por ejemplo, señalando la falta de un archivo adjunto)». Los vínculos con COLDRIVER se ven reforzados por el hecho de que los ataques utilizan documentos PDF que parecen cifrados e instan a las víctimas a abrirlos en Proton Drive haciendo clic en el enlace, una artimaña que el actor de la amenaza ha empleado en el pasado. Algunos de los elementos de ingeniería social también se extienden a COLDWASTREL, en particular en el uso de Proton Mail y Proton Drive para engañar a las víctimas para que hagan clic en un enlace y los lleve a una página de inicio de sesión falsa («protondrive[.]en línea» o «protondrive»[.]servicios») para Proton. Los ataques se registraron por primera vez en marzo de 2023. Sin embargo, COLDWASTREL se desvía de COLDRIVER en lo que respecta al uso de dominios similares para la recolección de credenciales y las diferencias en el contenido y los metadatos de los PDF. La actividad no se ha atribuido a un actor en particular en esta etapa. «Cuando el costo del descubrimiento sigue siendo bajo, el phishing sigue siendo no solo una técnica eficaz, sino una forma de continuar la focalización global evitando exponer capacidades más sofisticadas (y costosas) al descubrimiento», dijo Citizen Lab. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.