La empresa matriz de Facebook, Meta, reveló que tomó medidas contra dos operaciones de espionaje en el sur de Asia que aprovecharon sus plataformas de redes sociales para distribuir malware a posibles objetivos.
El primer conjunto de actividades es lo que la compañía describió como “persistente y con buenos recursos” y realizado por un grupo de piratería rastreado bajo el nombre de Bitter APT (también conocido como APT-C-08 o T-APT-17) dirigido a personas en Nueva Zelanda, India, Pakistán y el Reino Unido
“Bitter usó varias tácticas maliciosas para dirigirse a personas en línea con ingeniería social e infectar sus dispositivos con malware”, Meta dijo en su Informe trimestral de amenazas adversarias. “Usaron una combinación de servicios de acortamiento de enlaces, dominios maliciosos, sitios web comprometidos y proveedores de alojamiento de terceros para distribuir su malware”.
Los ataques involucraron al actor de amenazas creando personas ficticias en la plataforma, haciéndose pasar por mujeres jóvenes atractivas en un intento por generar confianza con los objetivos y atraerlos para que hicieran clic en enlaces falsos que desplegaban malware.
Pero en un giro interesante, los atacantes convencieron a las víctimas para que descargaran una aplicación de chat de iOS a través de Apple. Vuelo de pruebaun servicio en línea legítimo que se puede usar para probar aplicaciones en versión beta y proporcionar comentarios a los desarrolladores de aplicaciones.
“Esto significaba que los piratas informáticos no tenían que depender de exploits para entregar malware personalizado a los objetivos y podían utilizar los servicios oficiales de Apple para distribuir la aplicación en un esfuerzo por hacer que pareciera más legítima, siempre que convencieran a las personas de descargar Apple Testflight y los engañó para que instalaran su aplicación de chat”, dijeron los investigadores.
Si bien se desconoce la funcionalidad exacta de la aplicación, se sospecha que se empleó como una estratagema de ingeniería social como un medio para supervisar a las víctimas de la campaña a través de un medio de chat orquestado para este propósito.
Además, los operadores de Bitter APT utilizaron un malware de Android previamente no documentado denominado Dracarys, que abusa de los permisos de accesibilidad del sistema operativo para instalar aplicaciones arbitrarias, grabar audio, capturar fotos y recopilar datos confidenciales de los teléfonos infectados, como registros de llamadas, contactos, archivos, mensajes de texto, geolocalización e información del dispositivo.
Dracarys se entregó a través de aplicaciones dropper troyanizadas que se hacían pasar por YouTube, Signal, Telegram y WhatsApp, lo que continúa con la tendencia de que los atacantes implementen cada vez más malware disfrazado de software legítimo para acceder a los dispositivos móviles.
Además, en una señal de adaptación adversaria, Meta señaló que el grupo contrarrestó sus esfuerzos de detección y bloqueo publicando enlaces rotos o imágenes de enlaces maliciosos en los hilos de chat, lo que requiere que los destinatarios escriban el enlace en sus navegadores.
Los orígenes de Bitter son algo así como un rompecabezas, con pocos indicadores disponibles para relacionarlos de manera concluyente con un país específico. Se cree que opera desde el sur de Asia y recientemente amplió su enfoque para atacar entidades militares en Bangladesh.
Meta toma medidas enérgicas contra la tribu transparente
El segundo colectivo en ser interrumpido por Meta es Transparent Tribe (también conocido como APT36), una amenaza persistente avanzada que supuestamente tiene su sede en Pakistán y que tiene un historial de atacar agencias gubernamentales en India y Afganistán con herramientas maliciosas a medida.
El mes pasado, Cisco Talos atribuyó al actor a una campaña de phishing en curso dirigida a estudiantes de varias instituciones educativas en India, lo que marca una desviación de su patrón típico de victimología para incluir a usuarios civiles.
El último conjunto de intrusiones sugiere una fusión, habiendo señalado personal militar, funcionarios gubernamentales, empleados de derechos humanos y otras organizaciones sin fines de lucro, y estudiantes ubicados en Afganistán, India, Pakistán, Arabia Saudita y los Emiratos Árabes Unidos.
Los objetivos fueron diseñados socialmente usando personas falsas haciéndose pasar por reclutadores para compañías legítimas y falsas, personal militar o mujeres jóvenes atractivas que buscaban hacer una conexión romántica, y en última instancia, incitándolas a abrir enlaces que alojan malware.
Los archivos descargados contenían LazaSpy, una versión modificada de un software de monitoreo de Android de código abierto llamado XploitSPYal mismo tiempo que hace uso de aplicaciones de clonación no oficiales de WhatsApp, WeChat y YouTube para entregar otro malware conocido como Mobzsar (también conocido como CapraSpy).
Ambas piezas de malware vienen con funciones para recopilar registros de llamadas, contactos, archivos, mensajes de texto, geolocalización, información del dispositivo y fotos, así como para habilitar el micrófono del dispositivo, lo que las convierte en herramientas de vigilancia efectivas.
“Este actor de amenazas es un buen ejemplo de una tendencia global […] donde los grupos de baja sofisticación eligen confiar en herramientas maliciosas disponibles abiertamente, en lugar de invertir en desarrollar o comprar capacidades ofensivas sofisticadas”, dijeron los investigadores.
Estas “herramientas básicas de bajo costo […] requiere menos experiencia técnica para implementarse, pero aún así produce resultados para los atacantes”, dijo la compañía, y agregó que “democratiza el acceso a las capacidades de piratería y vigilancia a medida que la barrera de entrada se vuelve más baja”.