Ya llevamos unos meses alertando de ellos, y la última campaña llevada a cabo por Charming Kitten no es sino una prueba más de ello: el spearphishing goza de una excelente salud y, durante los últimos meses, seguramente en una relación causal con la pandemia del coronavirus, han proliferado las campañas y los casos exitosos de este tipo de ataques. Así, es lógico que cada vez más organizaciones cibercriminales con los recursos necesarios opten por emplear esta técnica.
La última muestras de ello es la investigación llevada a cabo por la firma de ciberseguridad ClearSky, en la que ha descubierto que el grupo Charming Kitten, también conocido por los nombres APT35, Parastoo, NewsBeef, y Newscaster y que tiene su origen en Irán, habría realizado una campaña en la que, haciéndose pasar por periodistas, han contactado con sus víctimas, con el fin de engañarlas para que, de manera inconsciente, instalaran el malware de la organización en sus dispositivos.
En lo referido a la elección de las víctimas, Charming Kitten se ha dirigido principalmente a sectores públicos y relacionados con la seguridad: gobierno, defensa, ejército y diplomacia. Para localizar a las víctimas concretas, los ciberdelincuentes se apoyan en la red social profesional LinkedIn, en la que localizan a profesionales que trabajan en la actualidad en empresas o instituciones cuya información resulta interesante para los intereses estratégicos de Irán. Aunque no existe una confirmación explícita de ello, todo apunta desde hace tiempo a que el grupo opera al servicio del gobierno del país.
Una vez localizadas las víctimas, los miembros de Charming Kitten establecen contacto con las mismas haciéndose pasar por periodistas del periódico alemán Deutsche Welle o del israelí Jewish Journal, con el fin de entrevistarlos para dichos medios. Se trata de una técnica muy inteligente, pues ataca directamente al ego de las víctimas que, claro, tienden a sentirse muy complacidas por el hecho de que medios tan prestigiosos quieran entrevistarlos. Y ya sabemos que el ego y las ganas de creer algo son una bomba de relojería en lo referido a la ciberseguridad.
Una vez establecido el contacto y ganada la confianza, algo para lo que incluso pueden llegar a conversar telefónicamente a través de Whatsapp con la víctima, le envían un correo con un enlace que, presuntamente, lo llevará a un servicio de videoconferencia a través del cual se celebrará la entrevista. El enlace, claro, en realidad apunta a una web maliciosa o a un archivo comprimido que contiene el malware con el que se infectará el sistema de la víctima.
“En esta campaña, observamos que los atacantes estaban dispuestos a hablar por teléfono de forma directa con la víctima mediante llamadas de WhatsApp, usando un número de teléfono legítimo de Alemania. Esta táctica no es común y pone en riesgo la identidad de los atacantes”, dijeron los investigadores de Clearsky sobre esta campaña de Charming Kitten.
Créditos: Muy seguridad