Los investigadores de Proofpoint observaron una campaña en la que varias APT se dirigen a periodistas y organizaciones de medios, ya que tienen acceso a información no pública.
Los actores de amenazas se hacen pasar por periodistas de periódicos famosos para cumplir con los objetivos y realizar los actos que desean, como hacer clic en enlaces o descargar algún software especial, que probablemente sea malware. La campaña ha estado en marcha desde principios del año pasado y se espera que continúe también.
Explotación del acceso exclusivo a los datos de los periodistas
Por encima del dinero, la mayoría de las amenazas persistentes avanzadas (APT) se dirigen a personas o redes con el objetivo de reconocimiento. Por lo que es habitual que sigan varias técnicas para lograr su objetivo, con la ayuda de su respectivo Estado.
En una campaña en curso detallado por los investigadores de Proofpoint, varios APT se hacen pasar por periodistas para atraer a los medios de comunicación y otros periodistas para que descarguen malware – para obtener información importante a la que solo ellos tienen acceso.
Por ejemplo, circonio (TA412) – una APT china, ha estado atacando a periodistas estadounidenses desde el año pasado para obtener información confidencial mediante el envío de correos electrónicos con rastreadores integrados. Estos rastreadores informan al pirata informático cada vez que se abre el mensaje, para que pueda obtener la IP del lector, desde la cual pueden encontrar su ubicación y los detalles de su ISP.
Hay otro APT chino llamado TA459 que se vio lanzando el malware Chinoxy a través de archivos RTF, dirigido principalmente a los medios involucrados en la política exterior de Afganistán.
Y hay hackers norcoreanos rastreados como TA404, que se dirigen al personal de los medios con ofertas de trabajo falsas como señuelos. Hay APT turcos rastreados como TA482 que realizan campañas de recolección de credenciales para robar las cuentas de los medios sociales de los periodistas.
Finalmente, hay piratas informáticos iraníes rastreados como TA453 (Charming Kitten) enviando correos electrónicos con enlaces maliciosos a académicos y expertos en políticas de Medio Oriente. Con más exposición pública que la gente en general, los periodistas tienen más posibilidades de ser víctimas de esas campañas, advierten los investigadores.
