JUE, 2 / ENE / 2020

Microsoft toma control de los dominios de un grupo de hackers

La empresa realizó estas acciones luego de que fueran ordenadas por una corte de los Estados Unidos. Los criminales utilizaban emails con enlaces a sitios que se hacían pasar por espacios oficiales de Microsoft.

Microsoft ha anunciado recientemente que ha tomado control del 50% de los dominios web que eran utilizados por el grupo de hackers Thallium para robar información. Los sitios se hacían pasar por espacios relacionados con la empresa.

La empresa inició sus acciones luego de que una corte de distrito de Estados Unidos emitiera una orden contra dicho grupo.

Se cree que estos criminales informáticos operan desde Corea del Norte. Los principales objetivos del grupo han sido empleados gubernamentales, think tanks y empleados de universidades.

En la mayoría de los casos se trataba de personas residentes en Estados Unidos, Japón o Corea del Sur.

Método

Los hackers utilizaban una técnica conocida como Spearphishing. El primer paso de este método consiste en recabar información sobre el objetivo en redes sociales, directorios públicos de personal y fuentes similares. Con estos datos se crea un email personalizado que tiene grandes posibilidades de aparecer como legítimo.

El truco que emplea el grupo es tan simple como efectivo, en los enlaces del mail combina la letra “r” y la “n” para enviar a las personas al sitio “rnicrosoft”, que intenta hacerse pasar por el dominio microsoft. La diferencia puede ser clara en texto plano, pero como parte de un enlace largo puede agarrar a varios desprevenidos dada la forma en que se ha construido el mensaje.

El sitio al que las personas son dirigidas les pide sus datos de usuario. De esta manera Thallium obtiene acceso a sus cuentas, puede revisar sus correos, listas de contactos, calendario y cualquier otra información de interés.

En ocasiones el grupo crea una regla de reenvío de correo, para recibir todos los mails enviados a la dirección de la cuenta en cuentas controladas por el grupo. De esta manera, salvo una adecuada revisión, continúa recibiendo los correos aún después de que el usuario cambia su clave.

Otro recurso empleado ha sido el malware, en particular los programas conocidos como BabyShark y KimJongRAT.

¡Comparte esta noticia!