Grandes compañías infectadas por nuevo troyano ciberespía
Hackers se han infiltrado en una gran compañía de petroleo en Filipinas, un negocio de energía en Canada y una organización millitar en Taiwan además de otras, indican investigadores.
Los atacantes también apuntaron a otras empresas aún no identificadas en Brasil, Israel, Egipto y Nigeria, de acuerdo a los resultados preliminares de la prueba de Dell SecureWorks. Los investigadores han seguido a los hackers de la campaña llamada Mirage por cerca de cinco meses, desde el pasado abril.
SecureWorks reconoce que el grupo detrás de estos intentos de obtener los secretos de las compañías en cuestión son los mismos que lanzaron ataques contra una firma vietnamita de petroleo y otras compañías en febrero pasado, en el conocido asunto Sin Digoo. Las direcciones de correo ligadas a los servidores de comando asociados con la campaña Mirage también aparecieron en la operación Sin Digoo.
“Esto indica que tanto los actores detrás del asunto Sin Digoo y Mirage APT [Advanced Persistent Threat – Amenaza persistente avanzada] son las mismas personas o están trabajando con el mismo grupo de hackers”, concluyó en su reporte el equipo Dell SecureWorks.
Una de las personas detrás de la camapaña Sin Digoo previamente ejecutó un motor de búsqueda de optimización de negocios BlackHat o de sombrero negro, el cual usa técnicas turbias para impulsar las páginas web de los clientes en los rankings de búsqueda. Y el malware usado para infectar las máquinas corporativas en el espionaje Mirage disfraza sus conexiones con el servidor de los hackers como si se tratara de búsquedas en Google. Esto quita la decesidad de elaborar peticiones HTTP que se parecen a solicitudes de búsqueda típicos del frontend de Google Search Engine. Correos electrónicos específicos con trampas explosivas como adjuntos se usan para inyectar el troyano Mirage en Microsoft Windows PC.
Las víctimas son simplemente engañadas para ejecutar estos archivos, en este punto, el software malicioso se instala automáticamente y hace una “llamada a casa” con las especificaciones de la computadora infectada. No está muy clara la forma en que los datos son robados por el software espía. Algunas variantes del gusano incuyen una línea de la famosa película Matrix: “Neo, bienvenido al desierto de lo real” Otra variante incluye la letra de una canción del grupo REM “It’s the end of the world as we know it” (Es el final del mundo como lo conocemos).
La dirección IP de los sistemas utilizados por los hackers para controlar remotamente las máquinas infectadas por Mirage pertenece a una red de la provincia de Beijing en China (AS48080), como el árbol de direcciones IP usadas en la campaña Sin Digoo. “AS4808 es conocido por muchas otras conexiones de malware y es considerado por algunos como un semillero de espionaje C2s [command and control servers – servidores de comandos y control]”, concluyó SecureWorks.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.