Organizaciones sin fines de lucro rusas y bielorrusas, medios de comunicaci\u00f3n independientes rusos y organizaciones no gubernamentales internacionales activas en Europa del Este se han convertido en el objetivo de dos campa\u00f1as separadas de phishing orquestadas por actores de amenazas cuyos intereses se alinean con los del gobierno ruso.<\/p>\n
Si bien una de las campa\u00f1as, denominada River of Phish, ha sido atribuida a COLDRIVER, un colectivo adversario con v\u00ednculos con el Servicio Federal de Seguridad de Rusia (FSB), el segundo conjunto de ataques ha sido considerado obra de un grupo de amenazas previamente no documentado cuyo nombre en c\u00f3digo es COLDWASTREL.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Piratas-informaticos-vinculados-a-Rusia-atacan-a-ONG-y-medios.png\")
<\/a><\/center><\/div>\nLos objetivos de las campa\u00f1as tambi\u00e9n incluyeron importantes figuras de la oposici\u00f3n rusa en el exilio, funcionarios y acad\u00e9micos del centro de estudios y del espacio pol\u00edtico estadounidense y un ex embajador de Estados Unidos en Ucrania, seg\u00fan una investigaci\u00f3n conjunta de Access Now y Citizen Lab.<\/p>\n
“Ambos tipos de ataques fueron dise\u00f1ados espec\u00edficamente para enga\u00f1ar mejor a los miembros de las organizaciones objetivo”, dijo Access Now. dicho<\/a>“El patr\u00f3n de ataque m\u00e1s com\u00fan que observamos fue un correo electr\u00f3nico enviado desde una cuenta comprometida o desde una cuenta que parec\u00eda similar a la cuenta real de alguien que la v\u00edctima pod\u00eda conocer”.<\/p>\n River of Phish implica el uso de t\u00e1cticas de ingenier\u00eda social personalizadas y altamente plausibles para enga\u00f1ar a las v\u00edctimas para que hagan clic en un enlace incrustado en un documento PDF se\u00f1uelo, que los redirecciona a una p\u00e1gina de recolecci\u00f3n de credenciales, pero no antes de identificar a los hosts infectados en un probable intento de evitar que las herramientas automatizadas accedan a la infraestructura de segunda etapa.<\/p>\n Los mensajes de correo electr\u00f3nico se env\u00edan desde cuentas de correo electr\u00f3nico de Proton Mail haci\u00e9ndose pasar por organizaciones o personas que eran familiares o conocidas por las v\u00edctimas.<\/p>\n “A menudo observamos que el atacante omit\u00eda adjuntar un archivo PDF al mensaje inicial solicitando una revisi\u00f3n del archivo ‘adjunto'”, dijo Citizen Lab. dicho<\/a>“Creemos que esto fue intencional y ten\u00eda como objetivo aumentar la credibilidad de la comunicaci\u00f3n, reducir el riesgo de detecci\u00f3n y seleccionar solo a los objetivos que respondieron al acercamiento inicial (por ejemplo, se\u00f1alando la falta de un archivo adjunto)”.<\/p>\n Los enlaces a COLDRIVER se ven reforzados por el hecho de que los ataques utilizan documentos PDF que parecen cifrados e instan a las v\u00edctimas a abrirlos en Proton Drive haciendo clic en el enlace, una artima\u00f1a que el actor de amenazas ha empleado en el pasado.<\/p>\n Algunos de los elementos de ingenier\u00eda social tambi\u00e9n se extienden a COLDWASTREL, particularmente en el uso de Proton Mail y Proton Drive para enga\u00f1ar a los objetivos para que hagan clic en un enlace y los lleve a una p\u00e1gina de inicio de sesi\u00f3n falsa (“protondrive[.]en l\u00ednea” o “protondrive”[.]servicios”) para Proton. Los ataques se registraron por primera vez en marzo de 2023.<\/p>\n Sin embargo, COLDWASTREL se desv\u00eda de COLDRIVER en lo que respecta al uso de dominios similares para la recolecci\u00f3n de credenciales y las diferencias en el contenido y los metadatos de los archivos PDF. La actividad no se ha atribuido a un actor en particular en esta etapa.<\/p>\n “Cuando el costo del descubrimiento sigue siendo bajo, el phishing no s\u00f3lo sigue siendo una t\u00e9cnica efectiva, sino una forma de continuar con la focalizaci\u00f3n global evitando exponer capacidades m\u00e1s sofisticadas (y costosas) al descubrimiento”, dijo Citizen Lab.<\/p>\n <\/p>\n<\/a><\/div>\n<\/a><\/center><\/section>\n