Hace unos días, la empresa de ciberseguridad ZecOps informó en Twitter de que podrían haberse producido “ataques relacionados con Whatsapp en iOS”. La compañía publicó un dominio específico, config5-dati [.] Com, y una dirección IP que, según dijo, estaba relacionada con dichos ciberataques.
Bonus: IOCs for Whatsapp related attacks on iOS (not necessarily related to the above tweet):
— ZecOps (@ZecOps) January 26, 2021
IOCs
URL: config5-dati [DOT] com
Last known IP address: 185.78.64.173
Ante esta alerta, el regulador de derechos digitales Citizen Lab y el medio de comunicación Motherboard iniciaron una investigación. Examinaron el dominio proporcionado por ZecOps y descubrieron “otros vinculados a él”, incluido uno que “alojaba un sitio que pretendía ser una página para descargar WhatsApp”.
“El dominio config5-dati [.] Com compartió un certificado de cifrado con otros dominios con nombres similares, revelando otros como config4-dati [.] Com, config3-dati [.] Com y config6-dati [.] Com. Citizen Lab buscó otras variaciones numéricas de ese dominio, incluyendo config1-dati [.] Com”, añade Motherboard.
El sitio malicioso “intentaba engañar a los visitantes para que instalaran lo que en realidad era un archivo de configuración especial para teléfonos iPhone diseñado para potencialmente recopilar información sobre las víctimas y enviarla de vuelta al atacante”, dictaminaron los investigadores de Citizen Lab.
La página de phishing, que actualmente no está operativa, está diseñada para parecerse a un sitio oficial de WhatsApp, con la marca de WhatsApp y gráficos profesionales que describen el proceso de instalación paso a paso. Según Citizen Lab, cuando se abre el archivo de configuración este dice que es de “WhatsApp Inc.” para “WhatsApp Messenger”.
Es decir: los equipos especialistas en seguridad de Motherboard y Citizen Lab concluyeron que un grupo de cibercriminales podrían haber intentado engañar a los usuarios de iPhone para que instalaran una versión falsa de WhatsApp, en un intento potencial de recopilar información sobre ellos.
Además, los análisis técnicos de ambos investigadores sugieren que esta versión falsa de WhatsApp “está vinculada a una empresa de vigilancia italiana específica”, apunta el medio internacional.
¿Cómo se produce este ciberataque?
Los atacantes hacen llegar al usuario de iPhone a una página web de phishing que se hace pasar por un sitio oficial para descargar WhatsApp. Según el medio, Google había conservado un caché de esta web, que decía en italiano: “Para mantenerse en contacto con sus amigos, presione el botón ‘descargar’ y siga las instrucciones de la página”.
Luego, la página indica a los visitantes cómo instalar un archivo de configuración a través del menú de configuración del sistema del iPhone -obviamente, no es así como los usuarios instalan una versión legítima de WhatsApp, sino que lo normal es que descarguen la aplicación de la App Store de Apple-.
Al presionar el botón, la víctima se instala “archivos de configuración o los llamados perfiles de administración de dispositivos móviles (MDM). El archivo MDM es la primera parte del proceso de instalación de lo que en última instancia probablemente sea una aplicación falsa de WhatsApp que contenga software espía”, dice Motherboard en su noticia.
Este archivo enviaba información al servidor config1-dati [.] Com, incluido el UDID o Identificador de dispositivo único asignado a cada dispositivo iOS por Apple y el IMEI o International Mobile Equipment Identity, otro código único que identifica a los teléfonos móviles.
Los investigadores de Citizen Lab dijeron que “no pudieron recopilar datos sobre la siguiente etapa del ataque, lo que significa que no está claro exactamente qué otros datos habrían podido extraer los cibercriminales de un dispositivo objetivo”, subraya Motherboard.
WhatsApp: "Tomaremos medidas contra este tipo de abusos, incluso en los tribunales"
Cuando se le presentó a WhatsApp un resumen de los hallazgos, un portavoz de la compañía le dijo a Motherboard: “No pedimos estos privilegios de usuario y la gente debería sospechar mucho de cualquier aplicación que intente hacerlo”.
Para ayudar a mantener seguros los chats, agregó el portavoz, recomiendan que “las personas descarguen WhatsApp de la tienda de aplicaciones para la plataforma de su teléfono”.
“Nos oponemos firmemente al abuso de las empresas de software espía, independientemente de su clientela. Modificar WhatsApp para dañar a otros viola nuestros términos de servicio. Tenemos y seguiremos tomando medidas contra dicho abuso, incluso en los tribunales”, dijo el portavoz de WhatsApp.
Facebook y WhatsApp están demandando actualmente a otro proveedor de software espía, NSO Group, por presuntamente abusar de la infraestructura de WhatsApp para entregar el malware de NSO a los objetivos.
Una empresa romana detrás
Después de investigar el conjunto de dominios, Motherboard encontró un grupo de otros dominios que en un momento compartían una dirección IP con el dominio config5-dati [.] Com, y de allí un tercer conjunto que compartía una dirección IP y seguía convenciones de nombres similares.
Uno de ellos, check3 [.] It, estaba registrado a nombre de "cy4gate srl", una empresa con domicilio en Roma, Italia, según los registros de WHOIS -la mayoría de los dominios analizados se registraron en Roma según WHOIS-.
Cy4Gate se describe a sí misma como una empresa de "Cyber Electronic Warfare & Intelligence" en su cuenta de Twitter. Según Motherboard, la compañía desarrolla varios productos, incluido Epeius, su solución para la "intercepción legal", un término de la industria para la piratería y la vigilancia como servicio.
Cuando Motherboard compartió los datos del dominio con Cy4gate, un portavoz de la compañía dijo en un correo electrónico que los dominios de configuración identificados por los investigadores de Citizen Lab y Motherboard no son atribuibles a la compañía. El portavoz de Cy4Gate confirmó a Motherboard que el dominio check3 [.] It pertenecía a la empresa.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios