Detectan una campaña de ataques mediante la técnica de “falsa descarga” dirigida a usuarios en España

6 agosto, 2020
6 Compartido 991 Visualizaciones

La campaña utiliza técnicas de ingeniería social para convencer a las víctimas de que ejecuten una descarga, y basa su éxito en aprovecharse de los usuarios dispuestos a seguir buenas prácticas en ciberseguridad

El equipo de investigación de Proofpoint ha detectado recientemente campañas de ataque mediante la técnica de “falsa descarga” perpetradas posiblemente por el actor de amenazas TA569, llamado asimismo SocGholish, y al que se le conoce por comprometer servidores CMS y redirigir el tráfico web a kits de ingeniería social.

Cuando se trata de distribuir malware a víctimas potenciales, los ciberdelincuentes cuentan actualmente con diversas opciones con las que entregar su carga útil. Estos pueden adjuntarlo a un correo electrónico o insertarlo como enlace directo dentro del propio texto. También se puede pedir al destinatario a través de un email que descargue un archivo malicioso con el pretexto de que se trata de una actualización de software u otro documento aparentemente inofensivo. Esta última técnica, denominada como “falsa descarga”, no es algo nuevo entre los ciberdelincuentes, pero sí bastante efectiva, y con ejemplos que afectan directamente a usuarios en España.

Entre los meses de junio y julio de este año se han enviado miles de mensajes de este tipo a organizaciones de España y también de Alemania, Canadá, Estados Unidos, Francia, Italia o Reino Unido. Entre los sectores objetivo figuraban el sistema educativo, la Administración Pública o la fabricación industrial. Según datos de Proofpoint, a principios de julio se observó una campaña de ataques del TA569 con cerca de 18.000 mensajes, que incluían links a páginas web comprometidas con inyecciones de HTML SocGholish.

Eran estas inyecciones de código las que se encargaban de analizar la geolocalización, el sistema operativo y el navegador del usuario. Si el entorno del usuario cumplía con unas condiciones específicas, se le mostraba una página de actualización simulada del navegador. Estas páginas emplean ingeniería social para convencer a las posibles víctimas de realizar una determinada acción, ya sea pulsar un botón, descargar un archivo en JavaScript o HTA. Al ejecutarse, el script registra la huella digital del sistema para descargar y distribuir la siguiente etapa del malware, una vez verificada la geografía del usuario.

El malware analizado por Proofpoint contiene en este caso un troyano bancario (Chthonic) y/o un software de control remoto (NetSupport). Chthonic es una variante del troyano bancario Zeus, mientras que NetSupport es una aplicación de acceso remoto legítima que suele ser empleada con asiduidad por los ciberdelincuentes.

El éxito de la técnica de “falsa descarga” utilizada por el TA569 reside en que se aprovecha de todo aquel usuario dispuesto a seguir buenas prácticas en ciberseguridad, como por ejemplo mantener los softwares de sus equipos actualizados. Pero lo que estas campañas de ataque vienen a demostrar es que tanto el malware como las tácticas de los ciberdelincuentes no tienen por qué ser novedosas para surtir efecto, incluso en un panorama de amenazas tan cambiante como el que existe ahora. Por eso, desde Proofpoint recalcan la importancia de que las estrategias de ciberseguridad de las organizaciones contemplen formación continuada e integral para concienciar a los empleados acerca de métodos de ataque, detección y prevención de amenazas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Del bullyng al Cyberbullyng: Diferencias y semejanzas
Actualidad
12 compartido2,365 visualizaciones
Actualidad
12 compartido2,365 visualizaciones

Del bullyng al Cyberbullyng: Diferencias y semejanzas

Redacción - 24 enero, 2020

Aunque los efectos pueden ser similares, ambos conceptos tienen grandes diferencias tanto en esencia, prevención o detección.  El bullyng es…

Kaspersky GReAT comparte su experiencia en la caza de amenazas en un curso de formación online
Actualidad
5 compartido1,252 visualizaciones
Actualidad
5 compartido1,252 visualizaciones

Kaspersky GReAT comparte su experiencia en la caza de amenazas en un curso de formación online

Aina Pou Rodríguez - 21 septiembre, 2020

Kaspersky ha dado a conocer un nuevo curso online titulado "Hunt APTs with YARA like a GReAT Ninja" YARA es…

Sales Cloud se amplía con una identificación más rápida de clientes, una facturación flexible y una automatización de Marketing inteligente
Actualidad
12 compartido1,407 visualizaciones
Actualidad
12 compartido1,407 visualizaciones

Sales Cloud se amplía con una identificación más rápida de clientes, una facturación flexible y una automatización de Marketing inteligente

Vicente Ramírez - 17 septiembre, 2018

Ahora High Velocity Sales aporta secuencias de actividades y colas de trabajo a medida para cada comercial interno aumentando su…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.