Campaña de phishing dirigida a organizaciones en India y Afganistán
Según los investigadores de Cisco Talos, un actor de amenazas con sede en Pakistán está apuntando a empresas en India y Afganistán con sitios web cargados de malware.
«El actor de la amenaza ha registrado múltiples dominios con problemas políticos y gubernamentales», escriben los investigadores. “Estos dominios alojaban cargas útiles de malware que se distribuían a sus víctimas. Sus viciosos cebos también incluyeron cuestiones relacionadas con las fuerzas afganas, en particular los esfuerzos diplomáticos y humanitarios. Creemos firmemente que el actor de la amenaza detrás de estos ataques es alguien que opera bajo la apariencia de una empresa de TI de Pakistán llamada Bunse Technologies. Las cadenas de infección consisten en documentos RTF maliciosos y scripts de PowerShell que distribuyen malware a las víctimas. También hemos visto el uso de binarios de descarga basados en C # para distribuir malware mientras se muestran imágenes de cebo a las víctimas para que parezcan legítimas «.
Los investigadores encuentran que los delincuentes y los actores del estado-nación a menudo usan malware de productos básicos en sus operaciones. Esto también se aplica en este caso, ya que el actor de amenazas usó dcRAT y QuasarRAT para atacar computadoras con Windows y AndroidRAT para atacar dispositivos móviles.
«Esta campaña es un ejemplo clásico de un solo actor de amenazas que utiliza temas políticos, humanitarios y diplomáticos en una campaña para entregar malware básico a las víctimas», dice Cisco Talos. “Las familias de productos básicos RAT están siendo utilizadas cada vez más por crimeware y grupos APT para infectar a sus objetivos. Estos RAT están equipados con múltiples funciones para tomar el control completo del punto final de la víctima, desde funciones de reconocimiento preliminares hasta ejecución de comandos arbitrarios y exfiltración de datos. Estas familias también actúan como excelentes plataformas de lanzamiento para implementar malware adicional contra sus víctimas. Además, estas capacidades listas para usar permiten a los atacantes realizar cambios mínimos en la configuración de las RAT, eliminando la necesidad de un ciclo completo de desarrollo de actores de malware personalizado «.
El actor de la amenaza también ha tomado medidas para garantizar que sea menos probable que se descubran sus documentos maliciosos.
«El uso por parte de los atacantes de un enumerador de archivos personalizado y un módulo de infección indica su intención de reproducir al infectar documentos benignos y confiables para alcanzar un nivel aún mayor de infección», escriben los investigadores.
Los nuevos cursos de formación sobre concienciación sobre la seguridad pueden ayudar a sus empleados a protegerse de los ataques de phishing dirigidos.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
