El personal de la campaña de Biden apuntó a los ciberataques aprovechando la atracción antivirus, Dropbox Ploy |  Threatpost - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El personal de la campaña de Biden apuntó a los ciberataques aprovechando la atracción antivirus, Dropbox Ploy | Threatpost

Hola y mil gracias por leerme. Yo soy Eduardo Arroyo y en esta ocasión te voy a hablar sobre El personal de la campaña de Biden apuntó a los ciberataques aprovechando la atracción antivirus, Dropbox Ploy | Threatpost

El personal de la campaña de Biden apuntó a los ciberataques utilizando la atracción antivirus, Dropbox Ploy

El Grupo de Análisis de Amenazas de Google arroja más luz sobre los ataques de malware y phishing de credenciales dirigidos al personal de la campaña presidencial de Joe Biden.

Los piratas informáticos enviaron correos electrónicos maliciosos haciéndose pasar por la compañía de software antivirus McAfee al personal de la campaña presidencial de Joe Biden y utilizaron una combinación de servicios legítimos (como Dropbox) para evitar la detección. Los correos electrónicos fueron un intento de robar las credenciales del personal e infectarlos con malware.

Los ataques fallidos del Persistent Advanced Threat Group (APT) a la campaña de Biden se descubrieron por primera vez en junio, junto con los ciberataques a la campaña de Donald Trump. Sin embargo, los detalles de los ataques en sí mismos y las tácticas utilizadas eran escasos hasta el análisis del viernes del Grupo de Análisis de Amenazas de Google (TAG).

«En un ejemplo, los atacantes se hicieron pasar por McAfee», dijo. los investigadores el viernes. «A los objetivos se les pedía que instalaran una versión legítima del software antivirus de McAfee desde GitHub, mientras que el malware se instalaba simultáneamente en el sistema de forma silenciosa».

La campaña se basó en enlaces basados ​​en correo electrónico que eventualmente descargarían malware alojado en GitHub, dijeron los investigadores. El malware era específicamente una instalación basada en Python que usaba Dropbox para comando y control (C2), que una vez descargado permitiría al atacante cargar y descargar archivos y ejecutar comandos arbitrarios.

Cada parte maliciosa de este ataque se alojó en servicios legítimos, lo que dificulta que los defensores confíen en las señales de la red para la detección, anotaron los investigadores.

El señuelo de McAfee utilizado en el ciberataque de Biden. Crédito: Google

Google atribuyó el ataque al personal de campaña de Biden a APT 31 (también conocido como circonio). Según los informes, este actor de amenazas está vinculado al gobierno chino.

Además de los miembros del personal de la campaña «Joe Biden para presidente», APT 31 también apuntó a «figuras destacadas de la comunidad empresarial internacional, académicos en negocios internacionales de más de 15 universidades», según una investigación previa de Microsoft. .

Los TTP de grupos de amenazas incluyen el uso de «balizas» web vinculadas a un dominio controlado por un atacante. Luego, el grupo envía la URL del dominio a los destinos a través del texto del correo electrónico (o archivo adjunto) y los convence de hacer clic en el enlace a través de ingeniería social.

«Si bien es posible que el dominio en sí no tenga contenido malicioso, [this] permite circonio [APT 31] para ver si un usuario ha intentado iniciar sesión en el sitio «, dijo Microsoft.» Para los actores del estado nacional, esta es una manera fácil de realizar un reconocimiento en las cuentas específicas para determinar si la cuenta es válida o el usuario es activo».

Por otro lado, las cuentas de correo electrónico personales de los miembros del personal asociados con la campaña «Donald J. Trump for President» también fueron blanco de otro grupo de amenazas llamado APT 35 (también conocido como Phosphorus and Charming. Gatito), que según los investigadores opera desde Irán. Se sabe que el grupo de piratas informáticos vinculado a Irán utiliza el phishing como vector de ataque y, en febrero, se descubrió que estaba apuntando a figuras públicas en ataques de phishing que robaban información de cuentas de correo electrónico de las víctimas.

Alertas de atacantes respaldados por el gobierno enviadas en 2020. Crédito: Google

Sin embargo, los investigadores dijeron que la buena noticia es que hay un mayor enfoque en las amenazas planteadas por las APT en el contexto de las elecciones estadounidenses. Google, por su parte, afirmó haber eliminado 14 cuentas de Google que estaban vinculadas al parlamentario ucraniano Andrii Derkach poco después del Tesoro de EE. UU. sancionada Derkach por intentar influir en las elecciones estadounidenses.

«Las agencias del gobierno de EE. UU. Han advertido sobre diferentes actores de amenazas, y hemos trabajado en estrecha colaboración con esas agencias y otras en el sector de tecnología para compartir contactos e información sobre lo que estamos viendo en el ecosistema», dijeron los investigadores de Google.

Con las elecciones presidenciales estadounidenses de 2020 a la vuelta de la esquina, las preocupaciones de seguridad cibernética están en el centro de atención, incluidas las preocupaciones sobre la integridad de las máquinas de votación, la expansión esperada de la votación por correo debido a COVID-19, y campañas de desinformación.

.

Puedes compartir en tus redes sociales para que tus amigos lo disfruten

??? ? ? ???

Comparte