El Grupo de An\u00e1lisis de Amenazas (TAG) de Google revel\u00f3 el jueves que hab\u00eda actuado para bloquear hasta 36 dominios maliciosos operados por grupos de pirater\u00eda de India, Rusia y los Emiratos \u00c1rabes Unidos.<\/p>\n
De manera an\u00e1loga al ecosistema de software de vigilancia, las empresas de pirater\u00eda equipan a sus clientes con capacidades para permitir ataques dirigidos a empresas, activistas, periodistas, pol\u00edticos y otros usuarios de alto riesgo.<\/p>\n
Donde los dos se diferencian es que mientras los clientes compran el software esp\u00eda de proveedores comerciales y luego lo implementan ellos mismos, se sabe que los operadores detr\u00e1s de los ataques de pirateo a sueldo realizan las intrusiones en nombre de sus clientes para ocultar su papel.<\/p>\n
“El panorama de pirater\u00eda a sueldo es fluido, tanto en la forma en que los atacantes se organizan como en la amplia gama de objetivos que persiguen en una sola campa\u00f1a a instancias de clientes dispares”, Shane Huntley, director de Google TAG, dijo<\/a> en un informe<\/p>\n “Algunos atacantes de pirater\u00eda anuncian abiertamente sus productos y servicios a cualquiera que est\u00e9 dispuesto a pagar, mientras que otros operan de manera m\u00e1s discreta vendiendo a una audiencia limitada”.<\/p>\n Se dice que una campa\u00f1a reciente montada por un operador indio de pirater\u00eda inform\u00e1tica se centr\u00f3 en una empresa de TI en Chipre, una instituci\u00f3n educativa en Nigeria, una empresa de tecnolog\u00eda financiera en los Balcanes y una empresa de compras en Israel, lo que indica la amplitud de las v\u00edctimas.<\/p>\n El equipo indio, que Google TAG dijo que ha estado rastreando desde 2012, se ha relacionado con una serie de ataques de phishing de credenciales con el objetivo de recopilar informaci\u00f3n de inicio de sesi\u00f3n asociada con agencias gubernamentales, Amazon Web Services (AWS) y cuentas de Gmail.<\/p>\n La campa\u00f1a consiste en enviar correos electr\u00f3nicos de phishing selectivo que contienen un enlace falso que, cuando se hace clic, abre una p\u00e1gina de phishing controlada por el atacante y dise\u00f1ada para desviar las credenciales ingresadas por usuarios desprevenidos. Los objetivos incluyeron los sectores de gobierno, salud y telecomunicaciones en Arabia Saudita, los Emiratos \u00c1rabes Unidos y Bahrein.<\/p>\n Google TAG atribuy\u00f3 a los actores indios de hack-for-hire a una empresa llamada Rebsec, que, seg\u00fan su empresa inactiva Cuenta de Twitter<\/a>es la abreviatura de “Valores de la rebeli\u00f3n<\/a>” y tiene su sede en la ciudad de Amritsar. La empresa sitio web<\/a>inhabilitado para “mantenimiento” al momento de escribir, tambi\u00e9n afirma ofrecer servicios de espionaje corporativo.<\/p>\n Un conjunto similar de ataques de robo de credenciales dirigidos a periodistas, pol\u00edticos europeos y organizaciones sin fines de lucro se ha relacionado con un actor ruso llamado Void Balaur, un grupo de mercenarios cibern\u00e9ticos documentado por primera vez por Trend Micro en noviembre de 2021.<\/p>\n En los \u00faltimos cinco a\u00f1os, se cree que el colectivo ha seleccionado cuentas en los principales proveedores de correo web como Gmail, Hotmail y Yahoo! y proveedores regionales de correo web como abv.bg, mail.ru, inbox.lv y UKR.net.<\/p>\n Por \u00faltimo, TAG tambi\u00e9n detall\u00f3 las actividades de un grupo con sede en los Emiratos \u00c1rabes Unidos y tiene conexiones con los desarrolladores originales de un troyano de acceso remoto llamado njRAT<\/a> (tambi\u00e9n conocido como Gusano H<\/a> o Houdini<\/a>).<\/p>\n Los ataques de phishing, descubiertos previamente por Amnist\u00eda Internacional<\/a> en 2018, implican el uso de se\u00f1uelos de restablecimiento de contrase\u00f1a para robar credenciales de objetivos en organizaciones gubernamentales, educativas y pol\u00edticas en el Medio Oriente y \u00c1frica del Norte.<\/p>\n Luego del compromiso de la cuenta, el actor de amenazas mantiene la persistencia otorgando un token OAuth a una aplicaci\u00f3n de correo electr\u00f3nico leg\u00edtima como Thunderbird, generando un Contrase\u00f1a de la aplicaci\u00f3n<\/a> para acceder a la cuenta a trav\u00e9s de IMAP, o vincular la cuenta de Gmail de la v\u00edctima a una cuenta propiedad del adversario en un proveedor de correo de terceros.<\/p>\n Los hallazgos llegan una semana despu\u00e9s de que Google TAG revelara detalles de una compa\u00f1\u00eda italiana de software esp\u00eda llamada RCS Lab, cuya herramienta de pirater\u00eda “Ermita\u00f1o” se utiliz\u00f3 para atacar a los usuarios de Android e iOS en Italia y Kazajst\u00e1n.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656608914_285_Google-bloquea-docenas-de-dominios-maliciosos-operados-por-grupos-de.jpg\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656608914_61_Google-bloquea-docenas-de-dominios-maliciosos-operados-por-grupos-de.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n