1 2 3 4 5 6

Últimas noticias

Google docs atacado por el malware Trojan.APT.Seinup

v3.co.uk 19-Jun-2013

Un ataque cibernético, que utiliza Google Docs para evitar su detección con el fin de robar información, ha sido visto en su "hábitat natural".

La firma de seguridad FireEye informó el descubrimiento de esta campaña, y advirtió que los delincuentes están utilizando malware avanzado para montar una campaña dirigida de spear phishing diseñada para robar datos corporativos y datos personales de una variedad de víctimas.
 
Chong Rong Hwa, investigador de FireEye, escribió: "El equipo de investigación de FireEye recientemente identificó una serie de actividades de phishing dirigidas a Asia y a la ASEAN (Asociación de Naciones del Sureste Asiático, por sus siglas en inglés). De ellos, uno de los documentos de spear phishing era sospechoso de haber utilizado como señuelo un documento robado virtualmente." 
 
"Se encontró que este malware ha utilizado una serie de técnicas avanzadas, lo que hace que sea interesante. El malware aprovecha Google Docs para realizar la redirección y evadir la detección del regreso de la comunicación".
 
Chong destacó que usar Google Docs es particularmente peligroso ya que ofrece la mayor protección al malware en contra de las herramientas de seguridad tradicionales, pero confirmó que hay maneras de resolver el problema. "Al conectar el servidor malicioso a través de Google Docs, la comunicación maliciosa está protegida por el cifrado SSL legítimo proporcionado por Google Docs", escribió.
 
"Una posible manera de examinar el tráfico SSL es hacer uso de un descifrador de hardware SSL dentro de una organización. Alternativamente, es posible que desee examinar el patrón de uso de los usuarios. Supongamos que un determinado usuario accede a Google Docs varias veces al día, el equipo de respuesta a incidentes de la organización puede profundizar más para ver si el tráfico es desencadenado por un humano o por un malware".
 
Aparte del uso de Google Docs, el documento del phising está confirmado para atacar la vulnerabilidad CVE-2012-0158 y usa un malware dropper (programa que se hace pasar por legítimo pero descarga otros malware) llamado exp1ore.exe. El dropper es especialmente peligroso, ya que permite que el malware se registre falsamente a sí mismo como un servicio de Windows en las máquinas infectadas, lo que significa que puede sobrevivir a un reinicio del sistema y ser persistente en la red.
 
El malware es problemático, ya que otorga a los criminales una variedad de poderes sobre la máquina infectada. "Este malware es llamado Trojan.APT.Seinup porque una de sus funciones se llama seinup. Este malware se analizó como una puerta trasera que permite al atacante controlar de forma remota al sistema infectado", escribió Chong.
 
El investigador de FireEye describió la campaña como prueba de que los criminales desarrollan nuevas formas más sofisticadas para atacar empresas seleccionadas, y pidió a las empresas actualizar sus estrategias de defensa actuales para hacer frente a la amenaza evolucionada.
 
"Cada vez, el malware es más avanzado contextualmente. Trata de parecerse lo más posible a un software o un documento legítimo. En este ejemplo, podríamos concluir lo siguiente. Un documento robado potencialmente fue utilizado como un documento señuelo para aumentar su credibilidad. También es una señal de que las organizaciones comprometidas podrían ser utilizadas como blanco fácil para comprometer a sus socios y aliados ", escribió.
 
"Es importante poner fin a la infección de malware desde el principio, que es la fase de explotación. Cada vez que la red es comprometida,  es más difícil detectar este tipo de amenazas. Respuestas contra incidentes y técnicas forenses se utilizan más para evadir la detección. Sería necesario un buen ojo para los detalles y una gran experiencia para identificar todas estas técnicas avanzadas".
Fuente: v3.co.uk PC

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT