La startup estadounidense de ciberseguridad, SentinelOne, ha identificado una herramienta de piratería utilizada para colocar pruebas digitales falsas en dispositivos de activistas y periodistas en la India.
La firma estadounidense de seguridad cibernética SentinelOne ha publicado un informe sobre ModifiedElephant, un grupo de piratería que supuestamente elaboró pruebas incriminatorias en los dispositivos personales de periodistas indios, activistas de derechos humanos, defensores de los derechos humanos, académicos y abogados.
Según el informe, ModifiedElephant apuntó maliciosamente a grupos e individuos específicos, incluidos los activistas arrestados en el caso Bhima Koregaon de 2018.
El objetivo principal de ModifiedElephant es facilitar la vigilancia a largo plazo de las personas objetivo, lo que en última instancia conduce a la elaboración de “pruebas” sobre los sistemas comprometidos de las víctimas con el objetivo de incriminar y encarcelar a los oponentes vulnerables, indican los investigadores.
Tras de una cuidadosa revisión de las campañas de los atacantes durante la última década, SentinelOne declara haber identificado cientos de grupos e individuos a los que apuntan las campañas de phishing del grupo ModifiedElephant. Entre ellos, los activistas, defensores de los derechos humanos, periodistas, académicos y profesionales del derecho en la India son los más atacados.
El informe revela que, a lo largo de la última década, los operadores de ModifiedElephant han intentado infectar a sus objetivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, y que sus técnicas permanecen en constante evolución.
“ModifiedElephant opera mediante el uso de troyanos de acceso remoto (RAT) disponibles comercialmente y tiene vínculos potenciales con la industria de la vigilancia comercial”, dijeron los investigadores.
Su principal mecanismo de entrega son los archivos de documentos maliciosos de Microsoft Office diseñados para entregar el malware elegido en ese momento. Aunque las cargas útiles específicas han cambiado a lo largo de los años y entre diferentes objetivos, se mantienen algunas tendencias notables.
Estas cadenas de ataque implican infectar a los objetivos utilizando correos electrónicos de phishing dirigidos a temas relacionados con el activismo, el cambio climático y la política, y que contienen archivos adjuntos de documentos de Microsoft Office maliciosos o enlaces a archivos alojados externamente que están armados con malware capaz de tomar el control de las máquinas víctimas.
- A mediados de 2013, el grupo utilizó correos electrónicos de phishing que contenían archivos adjuntos ejecutables con extensiones dobles falsas (nombre de archivo.pdf.exe).
- Después de 2015, pasaron a archivos menos obvios que contenían exploits disponibles públicamente, como .doc, .pps, .docx, y archivos .rar. Estos intentos involucraron el uso de documentos legítimos en estos formatos para captar la atención del usuario mientras se ejecutaba el malware.
- En las campañas de phishing de 2019, los operadores de ModifiedElephant también adoptaron el enfoque de proporcionar enlaces a archivos alojados externamente para que el objetivo los descargara y ejecutara manualmente.
Entre otros descubrimientos del grupo Sentinel se ha encontrado que el grupo de piratas informáticos opera en un espacio objetivo sobrepoblado y puede tener relaciones con otros actores de amenazas regionales, y que múltiples personas objetivo de ModifiedElephant a lo largo de los años también han sido objetivos o se ha confirmado que están infectadas con spyware de vigilancia móvil.
“Los correos electrónicos de phishing adoptan muchos enfoques para obtener la apariencia de legitimidad”, dijeron los investigadores. “Esto incluye contenido de cuerpo falso con un historial de reenvío que contiene largas listas de destinatarios, listas de destinatarios de correo electrónico originales con muchas cuentas aparentemente falsas o simplemente reenviar su malware varias veces usando nuevos correos electrónicos o documentos de señuelo”.
También se distribuye mediante correos electrónicos de phishing un troyano básico no identificado dirigido a Android que permite a los atacantes interceptar y administrar SMS y datos de llamadas, borrar o desbloquear el dispositivo, realizar solicitudes de red y administrar de forma remota los dispositivos infectados. SentinelOne lo caracterizó como un “kit de herramientas de vigilancia móvil de bajo costo ideal”.
