WindShift APT

El mito de que las computadoras Mac no tienen virus es solo eso: un mito. La realidad es que los virus de Mac son menos comunes. Todavía existen, pero los grupos de piratería no hacen que crearlos sea una prioridad. Sin embargo, de vez en cuando aparece un grupo como WindShift.

WindShift es lo que se considera una APT (amenaza persistente avanzada). Estos son grupos que los investigadores de seguridad conocen y rastrean. La infraestructura, las herramientas y los objetivos de una APT son generalmente bien conocidos porque se examinan muy de cerca. Algunos grupos son más sigilosos y pueden operar en silencio sin ser rastreados. Es más difícil mantener un ojo en esos grupos. WindShift es uno de esos grupos y, según los investigadores, ha estado operativo desde 2017 como mínimo.

El APT WindShift se centra principalmente en operaciones de reconocimiento. El grupo se ha comprometido con grandes objetivos como gobiernos y organizaciones, pero también parece perseguir objetivos específicos elegidos con anticipación. Lo interesante de sus objetivos es que parecen completamente ajenos. Los investigadores de ciberseguridad aún tienen que encontrar un único vínculo de conexión entre los objetivos. WindShift también adopta un enfoque diferente al de otros grupos. El grupo no depende tanto del malware y el ransomware para obtener la información que buscan como lo hacen otros grupos. En cambio, esta APT utiliza ingeniería social sofisticada para obtener datos de los objetivos de manera sutil. La mayoría de los objetivos ni siquiera se dan cuenta de que algo anda mal hasta que es demasiado tarde.

Es gracias a esta confianza en el sigilo que el grupo puede realizar operaciones durante largos períodos de tiempo sin ser atrapado. Se sabe que las campañas de WindShift duran meses a la vez. Los expertos sugieren que algunos de los objetivos golpeados por WindShift se observaron durante meses antes de que el grupo comenzara cualquier operación de piratería real. WindShift hace esto mediante el uso de cuentas de redes sociales falsas, manteniendo discusiones con los objetivos sobre temas relacionados y creando contenido atractivo a través de publicaciones falsas. Se conectan con sus objetivos para ganarse la confianza y facilitar la fase de ataque real.

El grupo también utiliza una variedad de herramientas analíticas para estudiar y observar a las personas, incluidos sus hábitos e intereses de navegación. Pueden usar esta información para promover sus campañas de ingeniería social y obtener aún más conocimiento. WindShift ha utilizado tanto herramientas disponibles públicamente como utilidades que ellos mismos han creado. Una forma en que el grupo recopila información sobre las cosas que les gustan a sus objetivos es enviarles enlaces a páginas web legítimas.

Los piratas informáticos intentarán obtener las credenciales de inicio de sesión de un objetivo una vez que tengan suficiente información con la que trabajar. El grupo ha utilizado Apple iCloud y Gmail, entre otros, para obtener credenciales de sus objetivos. El grupo envía a su objetivo un mensaje que les advierte que necesitan restablecer su contraseña. El objetivo se envía a una página que parece legítima pero es una página de recuperación falsificada diseñada para robar información. Si el objetivo no cae en la trampa, entonces WindShift pasa a las herramientas de piratería para obtener la información que desea.

Además de utilizar herramientas disponibles públicamente, Windshift ha creado varias herramientas y amenazas de piratería personalizadas, como las siguientes:

• WindDrop : un descargador de troyanos diseñado para sistemas Windows, que se detectó por primera vez en 2018.
• WindTail : un malware diseñado para sistemas OSX, que recopila tipos de archivos específicos o archivos que tienen ciertos nombres que se ajustan a sus criterios. También es capaz de plantar malware adicional en el sistema comprometido.
• WindTape : un troyano de puerta trasera diseñado para sistemas OSX que puede tomar capturas de pantalla.

Estas herramientas tienen algunas capacidades avanzadas, como poder manipular la configuración de DNS y enviar a los usuarios a diferentes páginas web. WindShift puede controlar las conexiones a Internet de los sistemas comprometidos y enviarlos a otros sitios web en su lugar. Estos sitios web están diseñados para parecerse a los reales y se utilizan para obtener credenciales de inicio de sesión e información adicional de los objetivos.

WindShift APT es, sin duda, uno de los grupos de piratería más inusuales que existen. El grupo tiene un enfoque diferente a sus objetivos y ataques que otros APT conocidos. El grupo se basa en gran medida en la ingeniería social y se dirige principalmente a las computadoras Mac. Esto es lo que los convierte en un enigma en el mundo de la piratería. Los investigadores de seguridad todavía están tratando de resolver sus procedimientos operativos y motivaciones. Aún así, el grupo definitivamente demuestra que tu Mac no es tan inmune a los virus como crees.