Microsoft secuestra 50 nombres de dominio del grupo de hackers Thallium

Microsoft ha publicado sobre su última victoria contra los grupos de piratas informáticos patrocinados por el estado después de que el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia acordó permitir que Microsoft confiscara 50 nombres de dominio del grupo de piratas informáticos coreano patrocinado por el estado Thallium.

Esta red se utilizó para atacar a las víctimas y luego comprometer sus cuentas en línea, infectar sus computadoras, comprometer la seguridad de sus redes y robar información confidencial. Según la información de las víctimas, los objetivos incluían empleados gubernamentales, grupos de expertos, miembros del personal universitario, miembros de organizaciones centradas en la paz mundial y los derechos humanos, y personas que trabajan en cuestiones de proliferación nuclear. La mayoría de los objetivos se basaron en los EE. UU., así como en Japón y Corea del Sur.

Thallium generalmente intenta engañar a las víctimas a través de una técnica conocida como phishing selectivo. Al recopilar información sobre las personas objetivo de las redes sociales, los directorios de personal público de las organizaciones con las que la persona está involucrada y otras fuentes públicas, Thallium puede crear un correo electrónico de phishing personalizado de una manera que le da credibilidad al objetivo. El contenido está diseñado para parecer legítimo, pero una revisión más detallada muestra que Thallium ha falsificado al remitente al combinar las letras "r" y "n" para que aparezcan como la primera letra "m" en "microsoft.com".

El enlace en el correo electrónico redirige al usuario a un sitio web que solicita las credenciales de la cuenta del usuario. Al engañar a las víctimas para que hagan clic en los enlaces fraudulentos y proporcionen sus credenciales, Thallium puede iniciar sesión en la cuenta de la víctima. Tras el compromiso exitoso de la cuenta de una víctima, Thallium puede revisar los correos electrónicos, las listas de contactos, las citas del calendario y cualquier otra cosa de interés en la cuenta comprometida. Thallium a menudo también crea una nueva regla de reenvío de correo en la configuración de la cuenta de la víctima. Esta regla de reenvío de correo reenviará todos los correos electrónicos nuevos recibidos por la víctima a cuentas controladas por Thallium. Mediante el uso de reglas de reenvío, Thallium puede continuar viendo el correo electrónico recibido por la víctima, incluso después de que se actualice la contraseña de la cuenta de la víctima.

Además de apuntar a las credenciales de los usuarios, Thallium también utiliza malware para comprometer los sistemas y robar datos. Una vez instalado en la computadora de la víctima, este malware extrae información de ella, mantiene una presencia persistente y espera instrucciones adicionales. Los actores de amenazas de Thallium han utilizado malware conocido llamado "BabyShark" y "KimJongRAT".

Este es el cuarto grupo de actividad de estado-nación contra el cual Microsoft ha presentado acciones legales similares para acabar con la infraestructura de dominios maliciosos. Las interrupciones anteriores se han centrado en Bario, que opera desde China, Estroncio, operando desde Rusia, y Fósforo, que opera desde Irán.

Para protegerse contra este tipo de amenazas, Microsoft sugiere que los usuarios habiliten la autenticación de dos factores en todas las cuentas de correo electrónico comerciales y personales. En segundo lugar, los usuarios deben aprender cómo detectar esquemas de phishing y protegerse de ellos. Por último, activar alertas de seguridad sobre enlaces y archivos de sitios web sospechosos y cuidadosamente comprobar su reenvío de correo electrónico reglas para cualquier actividad sospechosa.