El actor de amenazas de la Tribu Transparente se ha vinculado a una nueva campa\u00f1a dirigida a organizaciones gubernamentales indias con versiones troyanizadas de una soluci\u00f3n de autenticaci\u00f3n de dos factores llamada Kavach<\/b>.<\/p>\n
“Este grupo abusa de los anuncios de Google con el fin de hacer publicidad maliciosa para distribuir versiones de puertas traseras de las aplicaciones de autenticaci\u00f3n m\u00faltiple (MFA) de Kavach”, dijo Sudeep Singh, investigador de Zscaler ThreatLabz. dijo<\/a> en un an\u00e1lisis del jueves.<\/p>\n La compa\u00f1\u00eda de ciberseguridad dijo que el grupo de amenazas persistentes avanzadas tambi\u00e9n ha llevado a cabo ataques de recopilaci\u00f3n de credenciales de bajo volumen en los que se crearon sitios web falsos que se hac\u00edan pasar por sitios web oficiales del gobierno indio para atraer a los usuarios involuntarios a ingresar sus contrase\u00f1as.<\/p>\n La Tribu Transparente, tambi\u00e9n conocida por los apodos APT36, Operation C-Major y Mythic Leopard, es un presunto colectivo adversario de Pakist\u00e1n que tiene un historial de ataques a entidades indias y afganas.<\/p>\n La \u00faltima cadena de ataques no es la primera vez que el actor de amenazas ha puesto sus miras en Kavach (que significa “armadura” en hindi), un aplicaci\u00f3n obligatoria<\/a> requerido por los usuarios con direcciones de correo electr\u00f3nico en los dominios @gov.in y @nic.in para iniciar sesi\u00f3n en el servicio de correo electr\u00f3nico como una segunda capa de autenticaci\u00f3n.<\/p>\n A principios de marzo, Cisco Talos descubri\u00f3 una campa\u00f1a de pirater\u00eda que empleaba instaladores falsos de Windows para Kavach como se\u00f1uelo para infectar al personal del gobierno con CrimsonRAT y otros artefactos.<\/p>\n Una de sus t\u00e1cticas comunes es la imitaci\u00f3n del gobierno leg\u00edtimo, el ej\u00e9rcito y organizaciones relacionadas para activar la cadena de eliminaci\u00f3n. La \u00faltima campa\u00f1a realizada por el actor de amenazas no es una excepci\u00f3n.<\/p>\n “El actor de amenazas registr\u00f3 varios dominios nuevos que alojan p\u00e1ginas web haci\u00e9ndose pasar por el portal oficial de descarga de la aplicaci\u00f3n Kavach”, dijo Singh. “Abusaron de la funci\u00f3n de b\u00fasqueda paga de Google Ads para llevar los dominios maliciosos a la parte superior de los resultados de b\u00fasqueda de Google para los usuarios de la India”.<\/p>\n Desde mayo de 2022, tambi\u00e9n se dice que Transparent Tribe ha distribuido versiones de puerta trasera de la aplicaci\u00f3n Kavach a trav\u00e9s de tiendas de aplicaciones controladas por atacantes que afirman ofrecer descargas de software gratuitas.<\/p>\n Este sitio web tambi\u00e9n aparece como uno de los principales resultados en las b\u00fasquedas de Google, actuando efectivamente como una puerta de entrada para redirigir a los usuarios que buscan la aplicaci\u00f3n al instalador fraudulento basado en .NET.<\/p>\n Tambi\u00e9n se ha observado que el grupo, a partir de agosto de 2022, utiliza una herramienta de exfiltraci\u00f3n de datos previamente no documentada con nombre en c\u00f3digo LimePad, que est\u00e1 dise\u00f1ada para cargar archivos de inter\u00e9s desde el host infectado al servidor del atacante.<\/p>\n Zscaler dijo que tambi\u00e9n \u206fidentific\u00f3 un dominio registrado por Transparent Tribe falsificando el p\u00e1gina de inicio de sesi\u00f3n de la aplicaci\u00f3n Kavach<\/a> que solo se mostraba accediendo desde una direcci\u00f3n IP india, o redirig\u00eda al visitante a la p\u00e1gina de inicio del Centro Nacional de Inform\u00e1tica de la India (NIC<\/a>).<\/p>\n La p\u00e1gina, por su parte, est\u00e1 equipada para capturar las credenciales ingresadas por la v\u00edctima y enviarlas a un servidor remoto para realizar m\u00e1s ataques contra la infraestructura relacionada con el gobierno.<\/p>\n El uso de anuncios de Google y LimePad apunta a los continuos intentos del actor de amenazas por evolucionar y refinar sus t\u00e1cticas y su conjunto de herramientas de malware.<\/p>\n “APT-36 sigue siendo uno de los grupos de amenazas persistentes avanzadas m\u00e1s frecuentes centrados en atacar a los usuarios que trabajan en organizaciones gubernamentales indias”, dijo Singh. “Las aplicaciones utilizadas internamente en las organizaciones del gobierno indio son una opci\u00f3n popular de tema de ingenier\u00eda social utilizada por el grupo APT-36”.<\/p>\n <\/p>\n<\/div>\n![\"Empleados](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1667575997_712_Investigadores-detallan-nueva-campana-de-malware-dirigida-a-empleados-del.jpg\" "\\"Empleados")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Piratas-informaticos-que-utilizan-versiones-no-autorizadas-del-software-KeePass.png\")
<\/a><\/div>\n