▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Lo strano caso di SecuriElite, l'azienda fantasma di cybersecurity

Azienda e dipendenti falsi facevano da esca per attirare i ricercatori di Google e scaricare software malevolo sui loro computer.

Business Tecnologie/Scenari
SecuriElite è apparentemente un'azienda di cybersecurity con sede in Turchia in cui lavora più di una dozzina di ricercatori, tutti immancabilmente presenti su Twitter e LinkedIn con profili ben documentati. Offre servizi di pentest, valutazioni di sicurezza del software e simili. Peccato che sia l'azienda sia i dipendenti siano un fake. Sono un'esca per trarre in inganno i ricercatori (veri) di sicurezza.

Parrebbe l'ultima trovata di ingegneria sociale che potrebbe essere legata alla campagna del governo nord coreano per colpire il settore della security in occidente. A scoprire l'inganno è stato il Threat Analysis Group di Google: l'articolata sceneggiatura era stata creata per spingere i ricercatori a visitare il sito malevolo della fantomatica SecuriElite, su cui un exploit del browser attendeva solo di essere attivato.
catturaPer chi non ricordasse, da gennaio si parlò di una possibile campagna di un gruppo APT nord coreano rivolta contro i ricercatori di sicurezza di Google. Tutto era iniziato con richieste di collaborazione e false offerte di lavoro, pubblicate su popolari social media come Twitter, LinkedIn, Telegram, Discord e Keybase. L'obiettivo era conquistare la fiducia delle potenziali vittime e distribuire sui loro computer una backdoor sotto forma di Progetto Visual Studio infarcito di trojan.

Il tentativo era stato smascherato piuttosto facilmente da TAG e l'allarme era rientrato. Tuttavia il settore era rimasto in allerta. I ricercatori reputano che dietro a SecuriElite ci siano gli stessi criminali nord coreani che hanno orchestrato il precedente attacco. Il collegamento è costituito dalla presenza dello stesso link alla chiave pubblica PGP che era presente negli attacchi di gennaio.
pgpDietro segnalazione di Google tutti i profili social sono stati chiusi. Non resta che restare all'erta in vista della prossima mossa. Il gruppo non ha ancora un nome, quello che pare certo è che l'attività nord coreana è particolarmente fervente. Alla stessa matrice sono imputate false offerte di lavoro recapitate a dipendenti nel Ministero della Difesa Israeliano, oltre che tentativi di attacchi ad aziende aerospaziali mediante documenti infetti spediti agli impiegati.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter