Secciones
Mercados
Últimas
Clima
Según la empresa de ciberseguridad ProofPoint, el grupo ruso de ciberdelincuentes llamado TA505, que ha desarrollado malware como son FlawedGrace, FlawedAmmy y ServHelper, se encuentra haciendo campañas de correos electrónicos de phising dirigidos a Argentina y Chile.
¿Cuál es la modalidad de estos ataques dirigidos? Se propaga mediante el envío de mails fraudulentos con un archivo adjunto de Word, Excel, PowerPoint o PDF que tiene código malicioso internamente y al ejecutarse este infecta el equipo de la víctima sin que esta se entere.
La compañía Proofpoing ya había denunciado la existencia de una nueva variedad del malware, a la que llamo ServHelper, durante todo el año pasado. Se trata un programa escrito en Delphi (un IDE, entorno de desarrollo integrado) y la compañía lo definió como un "backdoor"; esto quiere decir que el programa intenta generar una puerta de entrada no intencional para ser usada por los atacantes.
Se conocen dos variantes distintas: “Tunnel” y “Downloader”:
La variante "Tunnel" tiene múltiples funciones y se enfoca en la configuración de túneles SSH inversos para permitir que el atacante acceda al host infectado a través del Protocolo de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al escritorio remoto, permite al atacante secuestrar las cuentas de usuario legítimas o los perfiles de navegador web y usarlos como le parezca.
La variante de “Downloader” es capaz de descargar y ejecutar cualquier otro malware que se le proporcione: troyano bancario, steeler, cryptomining, ransomware, keylogger, etcétera. Así lo advirtió y explicó el investigador en ciberseguridad Germán Fernández a través de sus redes sociales.
New campaing from TA505 targeting Chile and Latin America, this time: XLS Phishing + #FlawedAmmy RAT + Email Stealer + #Amadey -> https://t.co/9HDhTkdG4n cc: @James_inthe_box @malwrhunterteam @malware_traffic @Dkavalanche @0_1_0_1_0_0_0_0 @pollo290987— Germán Fernández (@1ZRR4H) April 25, 2019
New campaing from TA505 targeting Chile and Latin America, this time: XLS Phishing + #FlawedAmmy RAT + Email Stealer + #Amadey -> https://t.co/9HDhTkdG4n cc: @James_inthe_box @malwrhunterteam @malware_traffic @Dkavalanche @0_1_0_1_0_0_0_0 @pollo290987
El método de infección es un clásico phising. Los atacantes envían correos -vale aclarar que están perfectamente redactados en castellano y sin ningún error gramatical- invitan a la víctima a descargar un archivo infectado que aprovechando una utilidad llamada "macros" permite ejecutar de manera inmediata y sin intermediarios el archivo que los atacantes implantaron.
Ejemplo de mail de Phising. Fuente: https://medium.com/@1ZRR4H/
El mismo investigador también denunció otra campaña, pero esta vez utilizando un troyano de acceso remoto (una pieza de software malicioso que permite al atacante controlar la computadora infectada).
Fernández explica que este malware tiene dos funciones específicas: Email Stealer: Se encarga de recopilar todos los correos electrónicos almacenados en el equipo, ya sea en el disco o en cualquier cliente de correo que el usuario tenga instalado, principalmente Microsoft Outlook.
El propósito de esto es construir bases de datos con emails “frescos” para seguir distribuyendo la amenaza.
Botnet Bancaria “Amadey”: Permite a los autores realizar múltiples tareas maliciosas, como por ejemplo descargar y ejecutar malware adicional, recibir comandos desde un servidor de control, exfiltrar información sensible, actualizarse o borrarse, robar inicios de sesión, registrar teclas pulsadas (Keylogger), generar ataques de Denegación de Servicio Distribuido (DDoS), robo de accesos y claves de transferencias bancarias e incluso instalación masiva de Ransomware.
Cuando el investigador tuvo acceso temporal a la botnet (una cadena de computadoras infectadas que son controladas por un mismo grupo de personas) encontró 509.540 emails recopilados (desde el disco) y 1.590.035 emails recopilados (desde clientes de correo).
Fuente: https://medium.com/@1ZRR4H/
Se puede ver en la imagen capturada de la botnet que hay mayormente cuentas de Argentina y Chile.
Fuente: El Cronista-RIPE
Inicio de sesión
¿Todavía no tenés cuenta? Registrate ahora.
Para continuar con tu compra,es necesario loguearse.
o iniciá sesión con tu cuenta de:
Disfrutá El Observador. Accedé a noticias desde cualquier dispositivo y recibí titulares por e-mail según los intereses que elijas.
Crear Cuenta
¿Ya tenés una cuenta? Iniciá sesión.
Gracias por registrarte.
Nombre
Registrate gratis y seguí navegando.
¿Ya estás registrado? iniciá sesión aquí.
Pasá de informarte a formar tu opinión.
Suscribite desde US$ 345 / mes
Elegí tu plan
Estás por alcanzar el límite de notas.
Suscribite ahora a
Te quedan 3 notas gratuitas.
Accedé ilimitado desde US$ 345 / mes
Esta es tu última nota gratuita.
Se parte de desde US$ 345 / mes
Alcanzaste el límite de notas gratuitas.
Elegí tu plan y accedé sin límites.
Contenido exclusivo de
Sé parte, pasá de informarte a formar tu opinión.
Si ya sos suscriptor Member, iniciá sesión acá