Un nuevo troyano espía ataca a las instituciones diplomáticas a través de visados falsos

26 mayo, 2020
5 Compartido 1,145 Visualizaciones

En noviembre de 2019, las tecnologías de Kaspersky descubrieron nuevos ataques de malware orientados a cuerpos diplomáticos europeos, con la propagación inicial del malware disfrazada de una solicitud de visado falsa. Nuevos análisis han indicado que este software espía utiliza la misma base de código que COMPFun.

El spyware se propaga a través de los dispositivos de las víctimas para recopilar y transmitir datos al autor de la amenaza. Es muy utilizado por varias APT y su peligro es equivalente al de la victimología seleccionada: sea el gobierno o sectores de infraestructura crítica, la información obtenida podría ser de gran valor para los operadores de malware, y provocar muchos cambios en el escenario afectado.  

El malware detectado tiene grandes similitudes de código con el de COMPFun, del que se informó por primera vez en el año 2014. En 2019, la industria ya fue testigo de su sucesor, Reductor. Entre las funciones del nuevo troyano se incluye la capacidad de obtener la geolocalización del objetivo, recopilar datos relacionados con el servidor y la red, registrar las pulsaciones de teclas y realizar capturas de pantalla.

De acuerdo con los expertos de Kaspersky, se trata de un troyano completamente desarrollado que es capaz también de propagarse en dispositivos extraíbles. En su primera etapa como dropper en el que se descarga de la red local compartida, mantiene el nombre del archivo relacionado con el proceso de solicitud de visado, que se corresponde con las entidades diplomáticas destinatarias. La solicitud legítima se mantiene cifrada dentro del dropper, junto con el malware de 32 y 64 bits de la siguiente etapa.

Basándose en la victimología, Kaspersky asocia el malware original COMPfun, con el grupo de APT Turla con un nivel de confianza medio-bajo.

«Los operadores de malware mantuvieron su interés en las instituciones diplomáticas y en la aplicación de solicitud de visado, almacenada en un directorio compartido dentro de la red local, ya que el vector de contagio inicial actuaba a su favor. La combinación de un enfoque adaptado a sus objetivos, con la capacidad de generar y ejecutar sus ideas, hace que los desarrolladores que están detrás de COMPFun sean sin duda un potente equipo ofensivo«, afirma Kurt Baumgartner, investigador principal de seguridad de Kaspersky.  

Para mantener a las organizaciones protegidas de amenazas como COMPfun, Kaspersky recomienda: 

  • Realizar periódicamente auditorías de seguridad en la infraestructura de TI.
  • Utilizar una solución eficaz de seguridad para endpoints, como Kaspersky Endpoint Security for Business, con protección contra amenazas de archivos, y mantenerla actualizada para que pueda detectar los últimos ejemplos de malware.
  • Activar soluciones EDR como Kaspersky Endpoint Detection and Response para detectar, investigar y reparar de manera oportuna los incidentes en los endpoints.
  • Implementar una solución de seguridad corporativa que detecte amenazas avanzadas en el nivel de la red en una fase temprana, como Kaspersky Anti Targeted Attack Platform, además de adoptar una protección básica para los endpoints.
  • Proporcionar al equipo del SOC acceso a la última Inteligencia de Amenazas para mantenerse al día con las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y cibercriminales.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Los cibercriminales están atacando a compañías del sector salud con campañas de phishing para robar datos sensibles
Actualidad
11 compartido3,189 visualizaciones2
Actualidad
11 compartido3,189 visualizaciones2

Los cibercriminales están atacando a compañías del sector salud con campañas de phishing para robar datos sensibles

Alicia Burrueco - 16 octubre, 2019

Un 300% de aumento en ataques por correo sobre el mismo periodo del año anterior – estos correos han sido diseñados…

Ahora más que nunca: ciberseguridad
Revista Nº3
4 compartido1,797 visualizaciones
Revista Nº3
4 compartido1,797 visualizaciones

Ahora más que nunca: ciberseguridad

Alicia Burrueco - 4 enero, 2021

 MGS Seguros, con su renovado producto de ciberseguridad, ofrece una solución MGS Seguros, con su renovado producto de ciberseguridad, ofrece una…

Facebook prohibe los anuncios de criptomonedas para proteger a sus usuarios de fraudes
Actualidad
30 compartido1,729 visualizaciones
Actualidad
30 compartido1,729 visualizaciones

Facebook prohibe los anuncios de criptomonedas para proteger a sus usuarios de fraudes

Vicente Ramírez - 9 marzo, 2018

Facebook  prohibe los anuncios de criptomonedas y lo hace mediante el lanzamiento de una nueva política publicitaria basada en las…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.