Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

phishing-765x.jpg

Un grupo de piratería intentó ingresar a las empresas de servicios públicos en EEUU

Las estrategias de phishing siguen haciendo de las suyas. Esta vez, un grupo sospechoso de piratería patrocinado por el estado terrorista (estados que colaboran con el terrorismo: Corea del Norte, Irán, Sudán y Siria) intentó infiltrarse en empresas de servicios públicos estadounidenses en julio, según informaron los investigadores de Proofpoint Michael Raggi y Dennis Schwarz.

Entre el 19 y el 25 de julio, se enviaron correos electrónicos de phishing (estrategia de robo de identidad) a tres compañías estadounidenses responsables de proporcionar servicios públicos al público. El remitente de los correos se hacía pasar por una junta de licencias de ingeniería, el Consejo Nacional de Examinadores de Ingeniería y Topografía de EE. UU. El mensaje intentaba generar pánico, pues señalaba que la compañía que recibía el mensaje había reprobado un examen de seguridad emitido por este organismo.

Inducir el pánico es una técnica común de los correos de phishing. Si un objetivo está asustado, es más probable que siga las instrucciones de un correo electrónico de phishing sin pensarlo detenidamente.

El mensaje incluía un documento adjunto de Microsoft Word, llamado Result Notice.doc, que utilizaba macros incrustadas para generar código malicioso en un sistema receptor. Cuando los investigadores examinaron la IP descubrieron que se trataba de todo un grupo de dominios utilizados para suplantar a otras agencias de ingeniería y licencias eléctricas en los Estados Unidos. Aunque solo determinaron que el dominio original, nceess [.] Com, está activo en las campañas de phishing actuales. 

El malware que venía con los macros del archivo adjunto, se conoce como LookBack, y se inicia a través de GUP.exe y libcurl.dll. 

“LookBack es un troyano de acceso remoto (RAT), escrito en C ++, que puede ver datos del sistema, ejecutar shellcode, manipular, robar y eliminar archivos, tomar capturas de pantalla, eliminar procesos, mover y hacer clic con el mouse sin interacción del usuario, forzar una PC infectada para reiniciar a su antojo y eliminarse de una máquina”, reseña el medio ZDNet.

Pero LookBack puede hacer más, es capaz de crear un canal C2 y un proxy para filtrar y enviar información del sistema al servidor del atacante. 

De momento no se puede presumir que un grupo patrocinado por el estado busca interrumpir las utilidades y servicios públicos centrales. La evidencia es que el malware no se ha asociado activamente con ningún APT anteriormente y “no se identificaron superposiciones adicionales de infraestructura o código para sugerir una atribución a un adversario específico”, señalaron los investigadores.

Sin embargo las macros utilizadas proporcionan una pista de estas actividades fraudulentas, y son sorprendentemente similares al código utilizado en los ataques japoneses con campañas APT en 2018.

“Creemos que este puede ser el trabajo de un actor APT patrocinado por el estado basado en superposiciones con campañas históricas y macros utilizadas”, dice Proofpoint. “La utilización de esta metodología de entrega distinta junto con el malware LookBack único resalta las continuas amenazas que representan los adversarios sofisticados para los sistemas de servicios públicos y los proveedores de infraestructura crítica”.

Diarleth G.Un grupo de piratería intentó ingresar a las empresas de servicios públicos en EEUU