Un grupo avanzado de amenaza persistente (APT) con vínculos con Pakistán se ha atribuido a la creación de un sitio web falso disfrazado de el sistema postal del sector público de la India como parte de una campaña diseñada para infectar a los usuarios de Windows y Android en el país.
La compañía de ciberseguridad Cyfirma ha atribuido la campaña con confianza media a un actor de amenaza llamado APT36, que también se conoce como tribu transparente.
El sitio web fraudulento que imita India Post se llama «Postindia (.) Sitio». Se solicita a los usuarios que aterrizan en el sitio desde Windows Systems que descargue un documento PDF, mientras que los que visitan desde un dispositivo Android reciben un archivo de paquete de aplicaciones maliciosas («IndiaPost.apk»).
«Cuando se accede desde un escritorio, el sitio ofrece un archivo PDF malicioso que contiene tácticas ‘ClickFix'», dijo Cyfirma. «El documento instruye a los usuarios que presionen las teclas Win + R, pegue un comando PowerShell proporcionado en el diálogo Ejecutar y ejecutarlo, lo que puede comprometer el sistema».
Un análisis de los datos EXIF asociados con el PDF descartado muestra que fue creado el 23 de octubre de 2024 por un autor llamado «PMyls», una probable referencia al esquema de laptop de jóvenes del primer ministro de Pakistán. El dominio que se hace pasar por India Post se registró aproximadamente un mes después, el 20 de noviembre de 2024.
El código PowerShell está diseñado para descargar una carga útil de la próxima etapa desde un servidor remoto («88.222.245 (.) 211») que actualmente está inactivo.
Por otro lado, cuando se visita el mismo sitio desde un dispositivo Android, insta a los usuarios a instalar su aplicación móvil para una «mejor experiencia». La aplicación, una vez instalada, solicita permisos extensos que le permitan cosechar y exfiltrar datos confidenciales, incluidas las listas de contactos, la ubicación actual y los archivos del almacenamiento externo.
«La aplicación de Android cambia su ícono para imitar un icono de cuentas de Google no sospechoso para ocultar su actividad, lo que dificulta que el usuario localice y desinstale la aplicación cuando desee eliminarla», dijo la compañía. «La aplicación también tiene una característica para obligar a los usuarios a aceptar permisos si se les niega en primera instancia».
La aplicación maliciosa también está diseñada para funcionar en segundo plano continuamente incluso después de reiniciar un dispositivo, mientras busca explícitamente permisos para ignorar la optimización de la batería.
«ClickFix está siendo explotado cada vez más por los cibercriminales, estafadores y grupos APT, según lo informado por otros investigadores que observan su uso en la naturaleza», dijo Cyfirma. «Esta táctica emergente plantea una amenaza significativa, ya que puede apuntar a usuarios desprevenidos y expertos en tecnología que pueden no estar familiarizados con tales métodos».