Piratas informáticos que se hacen pasar por el gobierno iraní roban información de tarjetas de crédito y crean una botnet

La empresa de seguridad Check Point Research ha descubierto una campaña de piratería que involucra a atacantes cibernéticos que se hacen pasar por organismos del gobierno iraní para infectar los dispositivos móviles de los ciudadanos iraníes a través de mensajes SMS.

Los mensajes SMS instan a las víctimas a descargar aplicaciones de Android relacionadas con los servicios iraníes oficiales, como los Servicios Judiciales Electrónicos de Irán. Los primeros mensajes suelen afirmar que se ha presentado una denuncia contra la víctima y que es necesario descargar una aplicación para poder responder.

Una vez descargadas, las aplicaciones permiten a los piratas acceder a los mensajes personales de la víctima. Se les pide a las víctimas que ingresen la información de la tarjeta de crédito para cubrir una tarifa de servicio, lo que les da a los atacantes acceso a la información de la tarjeta que luego se puede usar. Con acceso a los mensajes personales de una víctima, los atacantes también pueden pasar la autenticación de dos factores.

Check Point Research dijo que la campaña está en curso y se está utilizando para infectar decenas de miles de dispositivos. Además del informe de Check Point, los ciudadanos iraníes han llevado a las redes sociales para quejarse de las estafas. Algunos medios de comunicación iraníes también están cubriendo el tema.

“Los actores de amenazas luego proceden a realizar retiros de dinero no autorizados y convierten cada dispositivo infectado en un bot, propagando el malware a otros. CPR atribuye los ataques a actores de amenazas, probablemente en Irán, que tienen una motivación financiera”, explicó la compañía de seguridad cibernética.

«CPR estima que decenas de miles de dispositivos Android han sido víctimas, lo que ha llevado al robo de miles de millones de riales iraníes. Los actores de amenazas están utilizando los canales de Telegram para realizar transacciones con herramientas maliciosas involucradas por tan solo $ 50. La investigación de CPR revela que los datos robados de los dispositivos de las víctimas han no ha sido protegido, haciéndolo libremente accesible a terceros en línea».

Shmuel Cohen de Check Point dijo que más de 1000 personas descargaron la aplicación maliciosa en menos de 10 días en una campaña. Incluso si no ingresaron la información de la tarjeta de crédito, su dispositivo se convirtió en parte de la botnet.

s3.jpg

Investigación de puntos de control

Alexandra Gofman, líder del equipo de inteligencia de amenazas en Check Point, dijo MarketingyPublicidad.es que los ataques parecen ser una forma de delito cibernético y no se atribuyen a ningún actor respaldado por el estado.

Gofman dijo que la velocidad y la propagación de estos ataques cibernéticos no tienen precedentes y agregó que es un ejemplo de una campaña económicamente exitosa dirigida al público en general.

«La campaña explota la ingeniería social y causa grandes pérdidas financieras a sus víctimas, a pesar de la baja calidad y la simplicidad técnica de sus herramientas. Hay algunas razones para su éxito. Primero, cuando se trata de mensajes gubernamentales que parecen oficiales, los ciudadanos comunes se inclinan para investigar más, haciendo clic en el enlace provisto», dijo Gofman.

«Segundo, debido a la naturaleza de botnet de estos ataques, donde cada dispositivo infectado recibe el comando para distribuir mensajes SMS de phishing adicionales, estas campañas se propagan rápidamente a una gran cantidad de víctimas potenciales. Aunque estas campañas específicas están muy extendidas en Irán, pueden tomar lugar en cualquier otra parte del mundo. Creo que es importante crear conciencia sobre los esquemas de ingeniería social que emplean los actores malintencionados».

Check Point explicó que los ciberdelincuentes detrás del ataque están utilizando una técnica conocida como «botnets smishing». Los dispositivos que ya han sido comprometidos se utilizan para enviar mensajes SMS a otros dispositivos.

Las personas detrás de la técnica ahora la ofrecen a otros en Telegram por hasta $150, brindando a cualquier persona la infraestructura para lanzar ataques similares fácilmente. Aunque la policía iraní pudo arrestar a uno de los culpables, docenas de ciberdelincuentes diferentes en Irán ahora están usando la herramienta.

La compañía estima que alrededor de $1,000 a $2,000 han sido robados de la mayoría de las víctimas. Los atacantes también están ofreciendo la información personal que fue robada a otros en línea.

Gofman agregó que la población general de Irán ahora se encuentra en una situación en la que los ataques cibernéticos tienen un impacto significativo en la vida cotidiana.

Gofman dijo que estos ataques comenzaron con los ferrocarriles y señaló que la compañía rastreó ese ataque a un grupo llamado Indra.

“Los ataques continuaron con las estaciones de servicio y luego con la compañía nacional de aviación. Ahora, estamos viendo otro ciberataque que muestra cómo incluso el cibercrimen puro puede aparecer en los titulares y en el caos, perjudicando a muchos en Irán”, dijo Gofman.

“Aunque no vemos una conexión directa entre estos últimos ataques cibernéticos y los principales ataques antes mencionados, nuestros últimos conocimientos muestran cómo incluso los ataques cibernéticos no sofisticados crean un daño significativo en la población general de Irán”.

Deja un comentario