Microsoft publicó hace unos días sobre su última victoria contra los grupos de hackers patrocinados por el estado después de que el Tribunal de Distrito de los E.E.U.U. del Este de Virginia acordase permitir que Microsoft confiscase hasta 50 nombres de dominios del grupo de hackers conocido como Thallium.
Una victoria que no es más que una puerta a un campo
La red se usó para atacar a las víctimas y luego comprometer sus cuentas online, infectar sus PCs, comprometer la seguridad de sus redes y robar información confidencial. Según las declaraciones de las víctimas, los objetivos incluían empleados del gobierno, grupos de expertos, miembros del personal universitario, miembros de ONGs y personas que trabajan en temas de proliferación nuclear. La mayoría de los objetivos estaban en E.E.U.U. pero también en Corea del Sur.
Thallium generalmente intentaba engañar a las víctimas a través de una técnica de spear phishing. Al recopilar información sobre las personas objetivo en las RRSS, los directorios del personal público de las organizaciones y otras fuente públicas, Thallium podía crear un correo electrónico personalizado de phishing de manera que otorgase credibilidad. El contenido estaba diseñado para parecer legítimo.
El enlace del correo redirige al usuario a un sitio web que solicita las credenciales de la cuenta del usuario. Al engañar a la víctima para que hiciera clic y así proporcionase sus credenciales, Thallium podía iniciar sesión con esa cuenta, revisar correos electrónicos, listas de contactos, citas del calendario además de crear una regla de reenvío para seguir viendo esos correos incluso después de actualizar la contraseña.
Es mejor prevenir que curar
Además del robo de credenciales, como decíamos, Thallium también infectaba con malware los equipos para comprometer su seguridad con «BabyShark» o «KimJongRAT».
Para protegerse de este tipo de amenazas, Microsoft sugiere que los usuarios habiliten la autenticación de dos factores en todas las cuentas de correo electrónico, ya sean comerciales o personales. También insta a que los usuarios aprendan a detectar esquemas de phishing para prevenir y que habilite las alertas de seguridad sobre enlaces y archivos de los sitios web.
