Los piratas inform\u00e1ticos vinculados al gobierno iran\u00ed han sido vinculados a una campa\u00f1a en curso de ingenier\u00eda social y phishing de credenciales dirigida contra activistas de derechos humanos, periodistas, investigadores, acad\u00e9micos, diplom\u00e1ticos y pol\u00edticos que trabajan en el Medio Oriente.<\/p>\n
Se cree que al menos 20 personas fueron atacadas, dijo Human Rights Watch (HRW) en un informe publicado el lunes, atribuyendo la actividad maliciosa a un colectivo adversario rastreado como APT42, que se sabe que comparte superposiciones con Charming Kitten (tambi\u00e9n conocido como APT35 o F\u00f3sforo<\/a>).<\/p>\n La campa\u00f1a result\u00f3 en el compromiso del correo electr\u00f3nico y otros datos confidenciales pertenecientes a tres de los objetivos. Esto incluy\u00f3 a una corresponsal de un importante peri\u00f3dico estadounidense, una defensora de los derechos de las mujeres con sede en la regi\u00f3n del Golfo y Nicholas Noe, un consultor de defensa de Refugees International con sede en el L\u00edbano.<\/p>\n La irrupci\u00f3n digital implic\u00f3 obtener acceso a sus correos electr\u00f3nicos, almacenamiento en la nube, calendarios y contactos, as\u00ed como exfiltrar todos los datos asociados con sus cuentas de Google en forma de archivos a trav\u00e9s de Comida para llevar de Google<\/a>.<\/p>\n \u201cLos piratas inform\u00e1ticos respaldados por el estado de Ir\u00e1n est\u00e1n utilizando agresivamente ingenier\u00eda social sofisticada y t\u00e1cticas de recopilaci\u00f3n de credenciales para acceder a informaci\u00f3n confidencial y contactos en poder de investigadores y grupos de la sociedad civil centrados en Oriente Medio\u201d, Abir Ghattas, director de seguridad de la informaci\u00f3n de Human Rights Watch, dijo<\/a>.<\/p>\n La cadena de infecci\u00f3n comienza cuando los objetivos reciben mensajes sospechosos en WhatsApp con el pretexto de invitarlos a una conferencia y atraer a las v\u00edctimas para que hagan clic en una URL maliciosa que captur\u00f3 sus cuentas de Microsoft, Google y Yahoo! credenciales de acceso.<\/p>\n Estas p\u00e1ginas de phishing tambi\u00e9n son capaces de orquestar ataques de adversario en el medio (AiTM), lo que hace posible violar cuentas que est\u00e1n protegidas por autenticaci\u00f3n de dos factores (2FA) que no sea una clave de seguridad de hardware.<\/p>\n Se confirma que 15 de las personas de alto perfil objetivo recibieron los mismos mensajes de WhatsApp entre el 15 de septiembre y el 25 de noviembre de 2022, dijo la organizaci\u00f3n no gubernamental internacional.<\/p>\n HRW se\u00f1al\u00f3 adem\u00e1s las deficiencias en Google’s protecciones de seguridad<\/a>ya que las v\u00edctimas del ataque de phishing “no se dieron cuenta de que sus cuentas de Gmail se hab\u00edan visto comprometidas o de que se hab\u00eda iniciado Google Takeout, en parte porque las advertencias de seguridad en la actividad de la cuenta de Google no env\u00edan ni muestran ninguna notificaci\u00f3n permanente en la bandeja de entrada de un usuario ni env\u00edan un mensaje push a la aplicaci\u00f3n de Gmail en su tel\u00e9fono”.<\/p>\n La opci\u00f3n de solicitar datos de Google Takeout se alinea con un programa basado en .NET llamado HYPERSCRAPE que fue documentado por primera vez por el Grupo de An\u00e1lisis de Amenazas (TAG) de Google a principios de agosto, aunque HRW dijo que no pod\u00eda confirmar si la herramienta se emple\u00f3 en este incidente espec\u00edfico.<\/p>\n La atribuci\u00f3n a APT42 se basa en la superposici\u00f3n del c\u00f3digo fuente de la p\u00e1gina de phishing con el de otra p\u00e1gina de registro falsificada que, a su vez, estaba asociada a un ataque de robo de credenciales montado por un actor de Iran-nexus (tambi\u00e9n conocido como TAG-56) contra un grupo de expertos estadounidense sin nombre.<\/p>\n “Es muy probable que la actividad de la amenaza sea indicativa de una campa\u00f1a m\u00e1s amplia que utiliza acortadores de URL para dirigir a las v\u00edctimas a p\u00e1ginas maliciosas donde se roban las credenciales”, Recorded Future revelado<\/a> a finales del mes pasado. “Este oficio es com\u00fan entre los grupos de amenazas persistentes avanzadas (APT) de Ir\u00e1n-nexus como APT42 y Phosphorus”.<\/p>\n Adem\u00e1s, el mismo c\u00f3digo se conect\u00f3 a otro dominio utilizado como parte de un ataque de ingenier\u00eda social atribuido al grupo Charming Kitten e interrumpido por Google TAG en octubre de 2021.<\/p>\n Vale la pena se\u00f1alar que, a pesar de los v\u00ednculos de APT35 y APT42 con el Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (IRGC), este \u00faltimo est\u00e1 m\u00e1s orientado a individuos y entidades con “prop\u00f3sitos de pol\u00edtica interna, pol\u00edtica exterior y estabilidad del r\u00e9gimen”, seg\u00fan Mandiant.<\/p>\n “En una regi\u00f3n de Medio Oriente plagada de amenazas de vigilancia para los activistas, es esencial que los investigadores de seguridad digital no solo publiquen y promuevan los hallazgos, sino que tambi\u00e9n prioricen la protecci\u00f3n de los activistas, periodistas y l\u00edderes de la sociedad civil de la regi\u00f3n”, dijo Ghattas.<\/p>\n <\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjRFZ8qsBvgTY-k97x35shkWsLwy9nml2qvGAhoSUrgnOv4cjMNq_Fxt3PX1-fGsYvukFgecZk_tEq7yo25JhDC5-Vs1Y7zQbdJRNWI2oxxbGupTJLIJ0PYz_4_8B6uWYsPON_7MgJlvofZuiWyadFpo71DOfXvGZzq6ie6zFQwJuzi2macqFLGR30PbA\/s1600\/Uptycs-728.jpg\")
<\/a><\/center><\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Hackers-estatales-iranies-apuntan-a-figuras-clave-en-el-activismo.png\" "\\"Hackers")
<\/div>\n