{"id":1377756,"date":"2024-09-26T22:30:33","date_gmt":"2024-09-26T22:30:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataque-de-abrevadero-a-sitios-kurdos-que-distribuyen-apk-maliciosos-y-software-espia\/"},"modified":"2024-09-26T22:30:38","modified_gmt":"2024-09-26T22:30:38","slug":"ataque-de-abrevadero-a-sitios-kurdos-que-distribuyen-apk-maliciosos-y-software-espia","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataque-de-abrevadero-a-sitios-kurdos-que-distribuyen-apk-maliciosos-y-software-espia\/","title":{"rendered":"Ataque de abrevadero a sitios kurdos que distribuyen APK maliciosos y software esp\u00eda"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciberespionaje \/ Seguridad M\u00f3vil<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Hasta 25 sitios web vinculados a la minor\u00eda kurda se han visto comprometidos como parte de un ataque de abrevadero dise\u00f1ado para recopilar informaci\u00f3n confidencial durante m\u00e1s de un a\u00f1o y medio.<\/p>\n

La empresa francesa de ciberseguridad Sekoia, que revel\u00f3 detalles de la campa\u00f1a denominada SilentSelfie, describi\u00f3 la intrusi\u00f3n como de larga duraci\u00f3n, y los primeros signos de infecci\u00f3n se detectaron ya en diciembre de 2022.<\/p>\n

Los compromisos web estrat\u00e9gicos est\u00e1n dise\u00f1ados para ofrecer cuatro variantes diferentes de un marco de robo de informaci\u00f3n, agreg\u00f3.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Estos iban desde los m\u00e1s simples, que simplemente robaban la ubicaci\u00f3n del usuario, hasta otros m\u00e1s complejos que grababan im\u00e1genes de la c\u00e1mara selfie y conduc\u00edan a usuarios seleccionados a instalar un APK malicioso, es decir, una aplicaci\u00f3n utilizada en Android”, afirman los investigadores de seguridad Felix Aim\u00e9 y Maxime A. dicho<\/a> en un informe del mi\u00e9rcoles.<\/p>\n

Los sitios web objetivo incluyen la prensa y los medios kurdos, la administraci\u00f3n de Rojava y sus fuerzas armadas, aquellos relacionados con partidos y organizaciones pol\u00edticos revolucionarios de extrema izquierda en T\u00fcrkiye y las regiones kurdas. Sekoia dijo a The Hacker News que el m\u00e9todo exacto por el cual estos sitios web fueron violados sigue siendo incierto.<\/p>\n

Los ataques no se han atribuido a ning\u00fan actor o entidad amenazante conocido, lo que indica el surgimiento de un nuevo grupo de amenazas dirigido a la comunidad kurda, que ha sido previamente se\u00f1alada por grupos como StrongPity y BladeHawk.<\/p>\n

A principios de este a\u00f1o, la firma de seguridad holandesa Hunt & Hackett tambi\u00e9n revel\u00f3 que los sitios web kurdos en los Pa\u00edses Bajos fueron se\u00f1alados por un actor de amenazas del nexo turco conocido como Sea Turtle.<\/p>\n

Los ataques de abrevadero se caracterizan por la implementaci\u00f3n de un JavaScript malicioso que es responsable de recopilar diversos tipos de informaci\u00f3n de los visitantes del sitio, incluida su ubicaci\u00f3n, datos del dispositivo (por ejemplo, n\u00famero de CPU, estado de la bater\u00eda, idioma del navegador, etc.) y datos p\u00fablicos. Direcci\u00f3n IP, entre otros.<\/p>\n

\"Ataque<\/a><\/div>\n

Una variante del script de reconocimiento encontrada en tres sitios web (rojnews[.]noticias, hawarnews[.]com y plataforma objetivo[.]net.) tambi\u00e9n se ha observado que redirige a los usuarios a archivos APK de Android no autorizados, mientras que otros incluyen la capacidad de seguimiento de usuarios a trav\u00e9s de una cookie llamada “sessionIdVal”.<\/p>\n

La aplicaci\u00f3n de Android, seg\u00fan el an\u00e1lisis de Sekoia, incorpora el sitio web como un WebView, al mismo tiempo que aspira clandestinamente informaci\u00f3n del sistema, listas de contactos, ubicaci\u00f3n y archivos presentes en el almacenamiento externo en funci\u00f3n de los permisos que se le otorgan.<\/p>\n

“Cabe se\u00f1alar que este c\u00f3digo malicioso no tiene ning\u00fan mecanismo de persistencia, sino que s\u00f3lo se ejecuta cuando el usuario abre la aplicaci\u00f3n RojNews”, se\u00f1alaron los investigadores.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

“Una vez que el usuario abre la aplicaci\u00f3n, y despu\u00e9s de 10 segundos, el servicio LocationHelper comienza a mostrar el fondo de la URL rojnews[.]news\/wp-includes\/sitemaps\/ a trav\u00e9s de solicitudes HTTP POST, compartiendo la ubicaci\u00f3n actual del usuario y esperando que se ejecuten los comandos”.<\/p>\n

No se sabe mucho sobre qui\u00e9n est\u00e1 detr\u00e1s de SilentSelfie, pero Sekoia ha evaluado que podr\u00eda ser obra del Gobierno Regional del Kurdist\u00e1n<\/a> de Irak bas\u00e1ndose en el arresto del periodista de RojNews Sil\u00eaman Ehmed por las fuerzas del KDP en octubre de 2023. Fue sentenciado<\/a> a tres a\u00f1os de prisi\u00f3n en julio de 2024.<\/p>\n

“Aunque esta campa\u00f1a de abrevadero es poco sofisticada, destaca por el n\u00famero de sitios web kurdos afectados y su duraci\u00f3n”, dijeron los investigadores. “El bajo nivel de sofisticaci\u00f3n de la campa\u00f1a sugiere que podr\u00eda ser el trabajo de un actor de amenazas descubierto con capacidades limitadas y relativamente nuevo en el campo”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n