Engaño en profundidad: Campaña... Nota

Engaño en profundidad: Campaña de espionaje PRC-Nexus secuestra tráfico web para objetar a diplomáticos

El Grupo de Inteligencia de Amenazas de Google identificó una compleja campaña de ciberespionaje por parte del actor UNC6384, vinculado a la República Popular China (RPC), que se dirigía a diplomáticos del Sudeste Asiático. Esta campaña utiliza un secuestro de portal cautivo para redirigir a los usuarios a un sitio web malicioso. Posteriormente, se entrega un descargador firmado digitalmente, llamado STATICPLUGIN, para iniciar el ataque. El objetivo final es la implementación en memoria de la puerta trasera SOGU.SEC, también conocida como PlugX. La cadena de ataque emplea ingeniería social avanzada, incluyendo certificados de firma de código válidos y técnicas de "adversario en el medio" (AitM). Google está protegiendo activamente a los usuarios alertando a las personas afectadas y mejorando las medidas de seguridad. También han añadido los recursos maliciosos identificados a la lista de Navegación Segura de Google. Las cargas útiles del malware se disfrazan como actualizaciones de software o plugins para engañar a los objetivos. La campaña utiliza un secuestro de portal cautivo, haciéndose pasar por una actualización de plugin de Adobe, para entregar el malware inicial. La página de destino imita sitios legítimos de actualización de software y utiliza HTTPS con un certificado TLS válido para aumentar la credibilidad. Google aconseja a los usuarios que habiliten la Navegación Segura Mejorada, mantengan sus dispositivos actualizados y utilicen la Verificación en Dos Pasos.
CdXz5zHNQW_TP1M7SZQDA.png