Google bloquea una serie de dominios maliciosos operados por grupos de actores maliciosos

El Grupo de Análisis de Amenazas (TAG) de Google reveló recientemente que bloqueo 36 dominios maliciosos operados por grupos de actores maliciosos de India, Rusia y los Emiratos Árabes Unidos. De manera análoga al ecosistema de software de vigilancia, los grupos maliciosos equipan a sus clientes con capacidades para permitir ataques dirigidos a empresas, activistas, […]

El Grupo de Análisis de Amenazas (TAG) de Google reveló recientemente que bloqueo 36 dominios maliciosos operados por grupos de actores maliciosos de India, Rusia y los Emiratos Árabes Unidos.

De manera análoga al ecosistema de software de vigilancia, los grupos maliciosos equipan a sus clientes con capacidades para permitir ataques dirigidos a empresas, activistas, periodistas, políticos y otros usuarios de alto riesgo.

«El panorama de ciberataques a sueldo es fluido, tanto en la forma en que los atacantes se organizan como en la amplia gama de objetivos que persiguen en una sola campaña a instancias de clientes», comunicó Shane Huntley, director de Google TAG en un reporte.

«Algunos atacantes de piratería anuncian abiertamente sus productos y servicios a cualquiera que esté dispuesto a pagar, mientras que otros operan de manera más discreta vendiendo a una audiencia limitada».

Se dice que una campaña reciente montada por un operador indio de piratería informática se centró en una empresa de TI en Chipre, una institución educativa en Nigeria, una empresa de tecnología financiera en los Balcanes y una empresa de compras en Israel, lo que indica la amplitud de las víctimas.

El equipo indio, que Google TAG dijo que ha estado rastreando desde 2012, se ha relacionado con una serie de ataques de phishing de credenciales con el objetivo de recopilar información de inicio de sesión asociada con agencias gubernamentales, Amazon Web Services (AWS) y cuentas de Gmail.

La campaña consiste en enviar correos electrónicos de phishing selectivo que contienen un enlace falso que, cuando se hace clic, abre una página de phishing controlada por el atacante y diseñada para desviar las credenciales ingresadas por usuarios desprevenidos. Los objetivos incluyeron los sectores de gobierno, salud y telecomunicaciones en Arabia Saudita, los Emiratos Árabes Unidos y Bahrein.

Google TAG atribuyó a los actores indios de piratería a sueldo a una empresa llamada Rebsec, que, según su cuenta inactiva de Twitter, es la abreviatura de «Rebellion Securities» y tiene su sede en la ciudad de Amritsar. El sitio web de la compañía, inactivo por «mantenimiento» al momento de escribir, también afirma ofrecer servicios de espionaje corporativo.

Un conjunto similar de ataques de robo de credenciales dirigidos a periodistas, políticos europeos y organizaciones sin fines de lucro se ha relacionado con un actor ruso llamado Void Balaur, un grupo de mercenarios cibernéticos documentado por primera vez por Trend Micro en noviembre de 2021.

En los últimos cinco años, se cree que el colectivo ha seleccionado cuentas en los principales proveedores de correo web como Gmail, Hotmail y Yahoo! y proveedores regionales de correo web como abv.bg, mail.ru, inbox.lv y UKR.net.

Por último, TAG también detalló las actividades de un grupo con sede en los EAU. y tiene conexiones con los desarrolladores originales de un troyano de acceso remoto llamado njRAT (también conocido como H-Worm o Houdini).