Unit 42, equipo de inteligencia de amenazas y respuesta a incidentes de Palo Alto Networks, ha identificado una presunta infraestructura encubierta iraní que suplantaba la identidad de una agencia de modelos alemana. Gracias a una web fraudulenta, diseñada para imitar la imagen y el contenido de la agencia original, los visitantes activaban, sin saberlo, JavaScript y permitían que se capturara información del usuario.
La estrategia de los cibermalos consiste en reemplazar el perfil real de una modelo por uno falso, incluyendo un enlace inactivo a un álbum privado. Detrás de esta práctica se esconde la preparación de ataques de ingeniería social dirigidos. Unit 42 no ha observado interacción directa con las víctimas, aunque señala que resulta posible que estas puedan acceder al sitio web falso mediante phishing selectivo.
Campañas de espionaje
La complejidad, los métodos y la elección de objetivos de la operación hacen suponer con alta certeza a Unit 42 que se trata de acciones de un grupo iraní. Se sospecha además, con menos evidencias, que un grupo que se solapa con el Agente Serpens, también conocido como APT35 o Charming Kitten, puede estar detrás de la campaña. Este grupo es conocido por realizar campañas de espionaje contra disidentes, periodistas y activistas iraníes, especialmente aquellos que residen en el extranjero.
El dominio megamodelstudio[.]com alberga un sitio web que suplanta a la Agencia de Modelos Mega, con sede en Hamburgo. La web replica con absoluta fidelidad la marca, el diseño y el contenido del sitio web real. El clon incluye un script diseñado para recopilar información detallada de los visitantes y, potencialmente, atraer a objetivos específicos al perfil de un modelo ficticio.
Ejecución del código JavaScript
Al ejecutarse el código JavaScript en el navegador de la víctima, se realizan las siguientes tareas:
- Enumerar los idiomas y complementos del navegador, recuperar la resolución de la pantalla y recopilar marcas de tiempo para rastrear la ubicación y el entorno del visitante.
- Revelar la dirección IP pública y local del usuario mediante la filtración de direcciones IP basada.
- Aprovechar la toma de huellas dactilares del lienzo, utilizando SHA-256 para producir un hash exclusivo del dispositivo.
- Estructurar los datos recopilados (por ejemplo, idioma, tamaño de pantalla, hash del lienzo) como JSON y entregarlos al punto final /ads/track mediante una solicitud POST
La funcionalidad del sitio web falso, combinada con el potencial de un mayor desarrollo malicioso, sugiere futuras evoluciones de esta amenaza.