Malware infecta entidades de muy alto perfil

Publicado el 6 mayo 2015 ¬ 11:37 amh.mscComentarios desactivados en Malware infecta entidades de muy alto perfil

El ciberespionaje continúa causando estragos. Definitivamente es una guerra y las guerras se ganan o se pierden con acciones. Para neutralizarlos, ya que es utópico acabarlos, hay que ir dos y quizás tres pasos por delante de un ciberdelincuente. Es como el ajedrez, uno debe pensar no solamente la jugada siguiente del adversario, sino ir por delante por lo menos tres jugadas.

Exite un refrán: “Piensa mal y acertarás”. Quizás este tipo de refrán se aplique a aquellas personas que trabajan en el área de seguridad, porque si no existiesen problemas, no sería necesario gastar dinero en seguridad.
Quizás por ello, el equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT por sus siglas en inglés), publicó este informe (en inglés):

http://securelist.com/blog/69731/the-cozyduke-apt/

en el cual describe una nueva campaña de ciberespionaje avanzada la cual utiliza malware para infectar entidades de alto perfil muy específicas.

Se cree que en Estados Unidos, la Casa Blanca y el Departamento de Estado están incluidas como objetivos, aunque la lista del atacante también incluye organizaciones gubernamentales y entidades comerciales en Alemania, Corea del Sur y Uzbekistán.

Junto con su focalización muy precisa de víctimas del más alto perfil, el actor presenta otras características preocupantes, aunque fascinantes. Estas incluyen el uso de capacidades de cifrado y anti-detección. Por ejemplo, el código busca la presencia de varios productos de seguridad con el fin de evadirlos, entre ellos: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal y Comodo Dragon.

Los expertos de seguridad de Kaspersky Lab desenmascararon la fuerte funcionalidad maliciosa del programa, así como similitudes estructurales semejantes a las herramientas de las campañas de ciberespionaje MiniDuke, CosmicDuke y OnionDuke; operaciones que, según varios indicadores, se cree que están administradas por autores cuyo idioma es el ruso.

Las observaciones de Kaspersky Lab muestran que MiniDuke y CosmicDuke están todavía activos y atacando organizaciones diplomáticas, embajadas, energía, compañías de gas y petróleo, telecomunicaciones, militares e instituciones académicas y de investigación en varios países.

todo de distribución

El actor de CozyDuke a menudo infecta a sus objetivos con correos electrónicos que contienen un enlace a un sitio web hackeado, a veces se trata de sitios legítimos de alto perfil como ‘diplomacy.pl’, que alberga un archivo ZIP infectado con malware. En otras operaciones de mucho éxito, este actor envía videos flash falsos con archivos ejecutables maliciosos incluidos como correos electrónicos anexos.

CozyDuke utiliza una puerta trasera y un “dropper” (instalador). El programa malicioso envía información acerca del objetivo al servidor de comando y control, y recupera archivos de configuración y módulos adicionales que implementan alguna funcionalidad extra necesaria para los atacantes.

“Hemos estado vigilando a MiniDuke y a CosmicDuke durante un par de años. Kaspersky Lab fue el primero en advertir acerca de los ataques de MiniDuke en el 2013, y las muestras conocidas más “antiguas” de esta ciberamenaza son del año 2008. CozyDuke está definitivamente conectado a estas dos campañas, así como a la operación de ciberespionaje OnionDuke. Cada uno de estos actores continúa rastreando sus objetivos, y nosotros creemos que sus herramientas de espionaje están creadas y administradas por hablantes de idioma ruso”, afirmó Kurt Baumgartner, investigador principal de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab.

Los productos de Kaspersky Lab detectan todas las muestras conocidas y protegen a los usuarios contra esta amenaza.

Consejos para los usuarios

•No abra archivos anexos y sospechosos de personas que usted no conoce
•Analice regularmente su computadora con una solución anti-malware avanzada
•Tenga cuidado con archivos ZIP que contengan archivos SFX
•Si no está seguro del archivo anexo, trate de abrirlo en un “sandbox” (espacio aislado)
•Asegúrese de que tiene un sistema operativo moderno con todos los parches instalados
•Actualice todas las aplicaciones de terceros como Microsoft Office, Java, Flash Player de Adobe y Adobe Reader.
Ver informacion original en Fuente:
to-perfil/

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies