Detectados ataques en España mediante la técnica de "falsa descarga"
- Endpoint
La alerta llega desde Proofpoint que ha detectado una campaña de ataques mediante la técnica de "falsa descarga" dirigida a usuarios en España. Utiliza técnicas de ingeniería social para convencer a las víctimas de que ejecuten una descarga, y basa su éxito en aprovecharse de los usuarios dispuestos a seguir buenas prácticas en ciberseguridad.
|
Recomendados: Análisis de código abierto Leer Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar ondemand |
El equipo de investigación de Proofpoint ha detectado recientemente campañas de ataque mediante la técnica de “falsa descarga” llevadas a cabo posiblemente por el actor de amenazas TA569, conocido también como SocGholish, y al que se le conoce por comprometer servidores CMS y redirigir el tráfico web a kits de ingeniería social.
Esta técnica, que es bastante efectiva, consiste en pedir al destinatario a través de un email que descargue un archivo malicioso con el pretexto de que se trata de una actualización de software u otro documento aparentemente inofensivo.
Entre los meses de junio y julio se han enviado miles de mensajes de este tipo a organizaciones de España y también de Alemania, Canadá, Estados Unidos, Francia, Italia o Reino Unido, principalmente a organizaciones del sistema educativo, la Administración Pública o la fabricación industrial. Según datos de Proofpoint, a principios de julio se observó una campaña de ataques con cerca de 18.000 mensajes, que incluían links a páginas web comprometidas con inyecciones de HTML SocGholish.
Estas inyecciones de código eran las que se encargaban de analizar la geolocalización, el sistema operativo y el navegador del usuario. Si el entorno del usuario cumplía con unas condiciones específicas, se le mostraba una página de actualización simulada del navegador. Estas páginas emplean ingeniería social para convencer a las posibles víctimas de realizar una determinada acción, ya sea pulsar un botón, descargar un archivo en JavaScript o HTA. Al ejecutarse, el script registra la huella digital del sistema para descargar y distribuir la siguiente etapa del malware, una vez verificada la geografía del usuario.
El malware analizado por Proofpoint contiene en este caso un troyano bancario (Chthonic) y/o un software de control remoto (NetSupport). Chthonic es una variante del troyano bancario Zeus, mientras que NetSupport es una aplicación de acceso remoto legítima que suele ser empleada con asiduidad por los ciberdelincuentes.
La firma de seguridad recalca la importancia de que las estrategias de ciberseguridad de las organizaciones incluyan formación continuada e integral para concienciar a los empleados acerca de métodos de ataque, detección y prevención de amenazas.
