Un comunidad liberal de amenaza persistente (APT) con vínculos con Pakistán se ha atribuido a la creación de un sitio web fariseo disfrazado de el sistema postal del sector divulgado de la India como parte de una campaña diseñada para infectar a los usuarios de Windows y Android en el país.
La compañía de ciberseguridad Cyfirma ha atribuido la campaña con confianza media a un actor de amenaza llamado APT36, que además se conoce como tribu transparente.
El sitio web fraudulento que imita India Post se fogata “Postindia (.) Sitio”. Se solicita a los usuarios que aterrizan en el sitio desde Windows Systems que descargue un documento PDF, mientras que los que visitan desde un dispositivo Android reciben un archivo de paquete de aplicaciones maliciosas (“IndiaPost.apk”).
“Cuando se accede desde un escritorio, el sitio ofrece un archivo PDF astuto que contiene tácticas ‘ClickFix'”, dijo Cyfirma. “El documento instruye a los usuarios que presionen las teclas Win + R, pegue un comando PowerShell proporcionado en el diálogo Ejecutar y ejecutarlo, lo que puede comprometer el sistema”.
Un exploración de los datos EXIF asociados con el PDF descartado muestra que fue creado el 23 de octubre de 2024 por un autor llamado “PMyls”, una probable relato al esquema de laptop de jóvenes del primer ministro de Pakistán. El dominio que se hace acontecer por India Post se registró aproximadamente un mes luego, el 20 de noviembre de 2024.
El código PowerShell está diseñado para descargar una carga útil de la próxima etapa desde un servidor remoto (“88.222.245 (.) 211”) que actualmente está inactivo.
Por otro costado, cuando se recepción el mismo sitio desde un dispositivo Android, insta a los usuarios a instalar su aplicación móvil para una “mejor experiencia”. La aplicación, una vez instalada, solicita permisos extensos que le permitan cosechar y exfiltrar datos confidenciales, incluidas las listas de contactos, la ubicación contemporáneo y los archivos del almacenamiento extranjero.
“La aplicación de Android cambia su ícono para imitar un icono de cuentas de Google no sospechoso para ocultar su actividad, lo que dificulta que el afortunado localice y desinstale la aplicación cuando desee eliminarla”, dijo la compañía. “La aplicación además tiene una característica para afectar a los usuarios a aceptar permisos si se les niega en primera instancia”.
La aplicación maliciosa además está diseñada para funcionar en segundo plano continuamente incluso luego de reiniciar un dispositivo, mientras escudriñamiento explícitamente permisos para ignorar la optimización de la condensador.
“ClickFix está siendo explotado cada vez más por los cibercriminales, estafadores y grupos APT, según lo informado por otros investigadores que observan su uso en la naturaleza”, dijo Cyfirma. “Esta táctica emergente plantea una amenaza significativa, ya que puede apuntar a usuarios desprevenidos y expertos en tecnología que pueden no estar familiarizados con tales métodos”.
