Seguridad
Proofpoint, compañía del ámbito de la ciberseguridad y el cumplimiento de normativas, ha revelado en un reciente estudio las estrategias de manipulación empleadas por el grupo de amenazas persistente avanzadas (APT) TA450, que tiene vínculos con el gobierno iraní y es conocido por varios nombres como MuddyWater, Mango Sandstorm y Static Kitten.
Desde octubre de 2023, los especialistas en seguridad han notado una actividad ininterrumpida de TA450 dirigida a israelíes que trabajan en empresas multinacionales de sectores como la manufactura, la tecnología y la seguridad de la información. Esta actividad se caracteriza por el uso de señuelos en hebreo y el compromiso de cuentas con el dominio .IL.
Ya no se incluyen enlaces en el cuerpo de los correos electrónicos
Recientemente, se ha observado un cambio en las metodologías del grupo, que ahora opta por adjuntar un archivo PDF con una URL maliciosa, en lugar de incluir directamente el enlace en el cuerpo del correo electrónico. Este archivo adjunto pretende ser un señuelo relacionado con pagos, haciendo coincidir el nombre del remitente con el contenido del señuelo.
¿Cómo evaden la detección?
La investigación de Proofpoint ha identificado que los mismos destinatarios recibieron varios emails de phishing que contenían documentos PDF con enlaces a sitios de compartición de archivos como Egnyte, Onehub, Sync y TeraBox, con cada enlace ligeramente modificado para evadir la detección.
El equipo de Proofpoint atribuye esta campaña a TA450, basándose en sus métodos operativos y análisis de malware, destacando que, aunque no es la primera vez que TA450 utiliza archivos con enlaces dañinos, sí es notable la entrega de la URL maliciosa mediante un archivo PDF adjunto en lugar de un enlace directo en el correo.
Mayoristas Recomendados
Hardware
Software
Seguridad
Sistemas
Gaming
Impresión
Educación
Telecomunicaciones
