Hackers del Kremlin implementan malware mediante CAPTCHA falsos

Iniciado por AXCESS, Mayo 08, 2025, 04:01:00 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 08, 2025, 04:01:00 PM


Un falso CAPTCHA ruso puede rastrear archivos privados y se ha visto circulando, atacando a altos funcionarios.

"No soy un robot". Probablemente lo hayas visto miles de veces. En algunos casos, en lugar de verificar que eres humano, puedes empezar a desentrañar una cadena de infección que lleva directamente a manos de la inteligencia rusa.

El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado una nueva cepa de malware denominada LOSTKEYS. Este nuevo malware es una herramienta de robo digital creada por COLDRIVER, un grupo de hackers respaldado por el Kremlin, también conocido como UNC4057, Star Blizzard y Callisto. Estos son los mismos operadores que han dedicado los últimos años a atacar a funcionarios de la OTAN, diplomáticos occidentales y organizaciones no gubernamentales (ONG).

GTIG identificó que la operación comienza con un falso CAPTCHA. El objetivo es redirigido a un sitio web fraudulento, probablemente tras recibir un enlace por correo electrónico. Cuando verifican su identidad, el sitio web envía un comando de PowerShell al portapapeles y les indica que lo peguen en el indicador de ejecución de Windows, activando así el malware. Esta técnica de ingeniería social, llamada ClickFix, ha ido en aumento, y muchos actores de amenazas la utilizan para atacar a sus víctimas.

Una vez dentro, el malware LOSTKEYS rastrea el sistema, buscando en directorios específicos archivos con extensiones específicas para robar rápidamente credenciales, exfiltrar correos electrónicos y recopilar listas de contactos de las cuentas comprometidas. El malware envía todo lo que puede rastrear directamente a los atacantes.

Si bien el robo de credenciales sigue siendo la táctica principal, en ciertos casos, COLDRIVER escala hasta implementar malware directamente en el dispositivo objetivo, una estrategia reservada para situaciones donde el acceso a archivos locales es crucial.

GTIG afirma haber sido detectado en campañas que se llevaron a cabo en abril de 2025, pero con muestras anteriores que se remontan a diciembre de 2023, camufladas como archivos legítimos vinculados a Maltego, una conocida herramienta OSINT. Aún se desconoce si se trataba de experimentos iniciales o del trabajo de otro actor.

¿Quiénes son los objetivos?

Las operaciones de COLDRIVER son altamente selectivas y se centran en personas con acceso a información confidencial. Según GTIG, el grupo suele perseguir a personas de alto perfil a través de sus cuentas de correo electrónico personales o aquellas asociadas con ONG.

La actividad reciente del grupo se ha centrado en asesores actuales y anteriores de gobiernos y ejércitos occidentales, así como en periodistas, centros de estudios y personal de ONG.

Las personas vinculadas a Ucrania han seguido siendo un objetivo constante, lo que refleja la alineación de COLDRIVER con los objetivos de inteligencia estratégica de Rusia.

En un número pequeño pero considerable de casos, COLDRIVER también se ha vinculado a operaciones de piratería informática y filtración de datos, incluyendo campañas dirigidas a funcionarios del Reino Unido y al menos a una ONG, lo que genera preocupación sobre cómo los datos robados podrían utilizarse como arma para influir en el discurso público o las políticas públicas.

Tras el descubrimiento, la respuesta de Google ha sido rápida. Se han eliminado dominios maliciosos, se han detectado archivos comprometidos mediante Navegación Segura y se ha advertido a usuarios de Gmail y Workspace afectados.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario