La Unidad de Delitos Digitales de Microsoft (DCU, por sus siglas en inglés) ha interrumpido una campaña de spear-phishing vinculada a Bohrium, un actor de amenazas procedente de Irán que ha apuntado a clientes de Estados Unidos, Oriente Medio e India.
Bohrium se ha dirigido a empresas de una amplia gama de sectores, incluidos tecnología, transporte, educación y entidades gubernamentales, según ha indicado Amy Hogan-Burney, directora general de la DCU de Microsoft, a través de su cuenta de Twitter.
Our DCU investigation found Bohrium targeted customers in the U.S., Middle East, and India. Targets come from sectors including tech, transportation, government, and education.
— Amy Hogan-Burney (@CyberAmyHB) June 2, 2022
"Los actores de Bohrium crean perfiles falsos en las redes sociales, a menudo haciéndose pasar por profesionales de selección de personal. Una vez que había obtenido la información personal de las víctimas, Bohrium enviaba correos electrónicos maliciosos con enlaces que terminaban infectando los ordenadores de sus objetivos con malware", señala Hogan- Burney, y apunta:
"Esta actividad fue descubierta por el Threat Intelligence Center (MSTIC) de Microsoft, que realiza un seguimiento de los actores del ciberdelito y de los estados nacionales del mundo para que podamos proteger mejor a nuestros clientes".
This activity was uncovered by Microsoft’s Threat Intelligence Center (MSTIC), which tracks the world’s nation-state and cybercrime actors so we can better protect our customers.
— Amy Hogan-Burney (@CyberAmyHB) June 2, 2022
El "golpe" de Microsoft a Bohrium
Según ha informado Microsoft, su unidad DCU ha eliminado41 dominios que estaban siendo utilizados en esta campaña de spear-phishing para establecer una infraestructura de comando y control que permitía a los atacantes implementar herramientas maliciosas diseñadas para ayudarlos a tomar el control de los dispositivos infectados, y robar y filtrar información confidencial.
Aunque Microsoft no ha revelado durante cuánto tiempo ha estado rastreando esta campaña, algunos de los dominios eliminados se han empleado para alojar y distribuir cargas útiles de malware desde 2017, afirma Bleeping Computer.
Para inhabilitar los dominios de Bohrium, Microsoft interpuso una demanda como ya había hecho en numerosas ocasiones en el pasado para hacer frente a la infraestructura maliciosa utilizada en ataques contra sus clientes de todo el mundo.
"Hasta la fecha, en 24 juicios, cinco contra actores de estados-nación, hemos derribado más de 10.000 sitios web maliciosos utilizados por ciberdelincuentes y casi 600 sitios utilizados por actores de estados-nación", afirmó Tom, vicepresidente corporativo de Seguridad del Cliente y Confianza de Microsoft, tras una operación del DCU del pasado mes de diciembre que resultó en la desarticulación del grupo de cibercriminales chino Nickel.