El grupo Threat Analysis Group (TAG) de Google ha identificado
una nueva campaña que buscaba infectar a ciertos investigadores de seguridad
que trabajan investigando vulnerabilidades en diferentes empresas y
organizaciones.
Las personas detrás de este ataque utilizan varias formas
para dirigirse a los investigadores. Para intentar crear una credibilidad y
acercase a su objetivo que es el investigador los atacantes crearon un blog de
investigaciones y varios perfiles en redes sociales para interactuar con sus
objetivos, siendo estas cuentas todas falsas. Con estos perfiles publicaban
enlaces a su blog, varios videos demostrando supuestos exploits (todos falsos)
y para dar más visibilidad a las otras cuentas que ellos mismos controlan. Los
medios utilizados por estos investigadores falsos han sido Twitter, LinkedIn,
Telegram, Discord, Keybase y correos, por el momento se conocen más de diez
perfiles utilizados por los atacantes.
Los criminales utilizarían los videos de supuestos exploits
falsos para intentar ganarse la confianza de las víctimas para posteriormente
preguntar si querían colaborar en la investigación. Los criminales compartían un
proyecto en Visual Studio a las víctimas donde estaría el código fuente para
explotar la vulnerabilidad, además de una DLL adicional que sería ejecutada una
vez se ejecute el propio proyecto. Está DLL es el malware que empezaría a
comunicarse con los dominios C2 controlados por los criminales.
Además de infectarse al ejecutar el proyecto, varios
investigadores se han visto comprometidos después de visitar el blog de los
criminales. En todos los casos donde han sido infectados vía blog, las víctimas
accedieron desde un enlace de Twittter donde accedían a un artículo alojado en blog.br0vvnn[.]io,
para poco después instalarse un servicio malicioso en el dispositivo de la víctima.
Por el momento el TAG no puede confirmar el mecanismo de compromiso,
lo que si se sabe es que las víctimas todas ejecutaban una versión de Windows
10 y Chrome actualizada y parcheada.