in

Campaña de phishing dirigida a organizaciones en India y Afganistán


La campaña de phishing está dirigida a organizacionesSegún los investigadores de Cisco Talos, un actor de amenazas con sede en Pakistán está apuntando a empresas en India y Afganistán con sitios web cargados de malware.

«El actor de la amenaza ha registrado múltiples dominios con problemas políticos y gubernamentales», escriben los investigadores. “Estos dominios alojaban cargas útiles de malware que se distribuían a sus víctimas. Sus viciosos cebos también incluyeron cuestiones relacionadas con las fuerzas afganas, en particular los esfuerzos diplomáticos y humanitarios. Creemos firmemente que el actor de la amenaza detrás de estos ataques es alguien que opera bajo la apariencia de una empresa de TI de Pakistán llamada Bunse Technologies. Las cadenas de infección consisten en documentos RTF maliciosos y scripts de PowerShell que distribuyen malware a las víctimas. También hemos visto el uso de binarios de descarga basados ​​en C # para distribuir malware mientras se muestran imágenes de cebo a las víctimas para que parezcan legítimas «.

Los investigadores encuentran que los delincuentes y los actores del estado-nación a menudo usan malware de productos básicos en sus operaciones. Esto también se aplica en este caso, ya que el actor de amenazas usó dcRAT y QuasarRAT para atacar computadoras con Windows y AndroidRAT para atacar dispositivos móviles.

«Esta campaña es un ejemplo clásico de un solo actor de amenazas que utiliza temas políticos, humanitarios y diplomáticos en una campaña para entregar malware básico a las víctimas», dice Cisco Talos. “Las familias de productos básicos RAT están siendo utilizadas cada vez más por crimeware y grupos APT para infectar a sus objetivos. Estos RAT están equipados con múltiples funciones para tomar el control completo del punto final de la víctima, desde funciones de reconocimiento preliminares hasta ejecución de comandos arbitrarios y exfiltración de datos. Estas familias también actúan como excelentes plataformas de lanzamiento para implementar malware adicional contra sus víctimas. Además, estas capacidades listas para usar permiten a los atacantes realizar cambios mínimos en la configuración de las RAT, eliminando la necesidad de un ciclo completo de desarrollo de actores de malware personalizado «.

El actor de la amenaza también ha tomado medidas para garantizar que sea menos probable que se descubran sus documentos maliciosos.

«El uso por parte de los atacantes de un enumerador de archivos personalizado y un módulo de infección indica su intención de reproducir al infectar documentos benignos y confiables para alcanzar un nivel aún mayor de infección», escriben los investigadores.

Los nuevos cursos de formación sobre concienciación sobre la seguridad pueden ayudar a sus empleados a protegerse de los ataques de phishing dirigidos.

Cisco Talos tiene la historia.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La aplicación LINE admite un abuso limitado de los datos del usuario

El gobierno de EE. UU. Advierte sobre los ataques de BlackMatter a la infraestructura crítica