Según la empresa de ciberseguridad Check Point, el ataque ha sido diseñado por un grupo de piratas iraníes y está siendo empleado para robar las cuentas de organizaciones contrarias al gobierno de Teherán
La verificación en dos pasos es una de las herramientas más empleadas por las plataformas digitales como mecanismo para evitar que una cuenta caiga en manos de un tercero. A estas alturas, la técnica está generalizada en la banca en línea, donde es obligatorio aportar un código, que llega por SMS, cada vez que se hace algún movimiento de dinero. También se encuentra en la mayoría de redes sociales, como WhatsApp, plataforma en la que la claves de verificación son necesarias cuando se abre una cuenta en un dispositivo diferente.
Los ciberdelincuentes, evidentemente, lo saben; por eso llevan tiempo realizando campañas para robar las claves a la víctima en los que la ingeniería social, o la capacidad de engañar al usuario, tienen una gran importancia. Recientemente, la empresa de ciberseguridad Check Point ha notificado que un grupo de piratas informáticos ubicados en Irán ha desarrollado un virus capaz de acceder a los códigos de autentificación directamente desde los SMS y compartirlos con el atacante.
«Es una campaña de espionaje que tiene varias fases. Entre las herramientas empleadas por los atacantes se encuentra un intento de infección de la víctima mediante el envío de un documento de Word. En esta fase, los atacantes buscan robar la cuenta de Telegram del usuario y del popular gestor de constraseñas KeePass. Como parte de esta campaña, también emplean un virus adicional basado en Android capaz de robar las claves de verificación que le llegan al usuario por mensaje de texto», explica a ABC Eusebio Nieva, director técnico de Check Point.
Desde la empresa de ciberseguridad desconocen la identidad del grupo que lo ha desarrollado, aunque afirman que puede ser próximo al régimen iraní, ya que entre sus objetivos destacan grupos opositores al gobierno y minorías. Asimismo, apuntan que llevan actuando desde hace varios años. «Todavía no sabemos exactamente cuál es la vulnerabilidad de Android que emplean para robar las claves de verificación. Si que hemos visto que estaban utilizando una aplicación maliciosas para este sistema operativo que se hace pasar por una herramienta para ayudar a los hablantes de persa a sacarse el documento de conducir en Suecia», expresa Nieva.
«Esto nos demuestra que, prácticamente, con toda seguridad, la campaña lo que busca es atacar en concreto a grupos de disidentes iraníes. No sabemos mucho sobre el grupo que está detrás, sin embargo sí que hemos visto que todos los ataques que conforman esta campaña provienen de la misma gente. Se trata de un intento de espiar a varios grupos contrarios al régimen del país. Entre estos figura la organización disidente Mujahedin-e Khalq», finaliza el experto.
