Los investigadores de Check Point descubrieron una nueva campaña de phishing en los últimos dos meses.
Seguridad IT

Check Point Research: ataque de phishing a gran escala a más de 40 empresas en Colombia

61 3 minutos de lectura

Durante los últimos dos meses, los investigadores de Check Point se encontraron con una novedosa campaña de phishing a gran escala dirigida específicamente a más de 40 empresas destacadas, que abarcan diversas industrias en Colombia. El objetivo principal de los atacantes era implantar subrepticiamente el infame malware «Remcos» en los sistemas de las víctimas.

Este malware avanzado, a menudo comparado con un RAT versátil como la «navaja suiza», otorga control total a los agresores, permitiéndoles explotar la computadora comprometida para una variedad de propósitos nefastos.

Los troyanos de acceso remoto (RAT) son malware diseñado para permitir a un atacante controlar de forma remota una computadora infectada. Una vez que el RAT se ejecuta en un sistema comprometido, el atacante puede enviarle comandos y recibir datos en respuesta.

CAT

Las consecuencias de una infección por Remcos suelen incluir el robo de datos, las posteriores infiltraciones de malware y el secuestro de cuentas de usuario. Nuestro informe completo profundiza en la intrincada mecánica del ataque y destaca las tácticas astutas empleadas por estas entidades maliciosas.

Flujo de ataque

  1. Correo electrónico fraudulento: los atacantes comienzan enviando correos electrónicos falsos que parecen provenir de fuentes confiables como bancos o empresas en Colombia. Estos correos electrónicos pueden hablar sobre asuntos urgentes, deudas impagas u ofertas interesantes.
  2. Archivo adjunto de correo electrónico: dentro de estos correos electrónicos, hay un archivo adjunto que parece inofensivo, como un archivo ZIP o RAR. Dice que tiene documentos o facturas importantes de interés.
  3. Comandos ocultos: el archivo contiene un archivo por lotes (BAT) altamente ofuscado. Tras la ejecución, el archivo BAT ejecuta comandos de PowerShell que también están muy ofuscados. Esta ofuscación de múltiples capas dificulta que las soluciones de seguridad detecten y analicen la carga maliciosa.
  4. Carga de módulos.NET: Las instrucciones hacen que tu computadora cargue dos partes importantes que son como herramientas. Estos módulos son esenciales para las etapas posteriores del ataque.
  5. Primer módulo .NET: Evasión y desenganche: el trabajo de la primera herramienta es ocultar y engañar a las defensas de su computadora. Intenta desactivar los elementos de seguridad para que no queden atrapados los elementos malos.
  6. Segundo módulo .NET: Cargando «LoadPE» y Remcos: El segundo módulo .NET carga dinámicamente otro componente llamado «LoadPE» desde los recursos del archivo. «LoadPE» es responsable de la carga reflexiva, una técnica que permite cargar un archivo ejecutable portátil (PE) (en este caso, el malware Remcos) directamente en la memoria sin necesidad de almacenarlo en el disco.
  7. Carga reflectante con «LoadPE«: Utilizando el componente «LoadPE», los atacantes cargan la carga útil final, el malware Remcos, directamente desde sus recursos a la memoria. Esta técnica de carga reflexiva mejora aún más la capacidad del malware para evadir las soluciones antivirus y de seguridad de terminales tradicionales, ya que evita los mecanismos de detección estándar basados en archivos.
  8. La carga útil final: Remcos – Navaja suiza RAT: Con la carga exitosa del malware Remcos en la memoria, el ataque ya está completo. Remcos, una potente herramienta de administración remota (RAT), otorga a los atacantes control total sobre el sistema comprometido. Sirve como una navaja suiza para los atacantes, permitiéndoles ejecutar una amplia gama de actividades maliciosas, incluido el acceso no autorizado, la filtración de datos, el registro de teclas, la vigilancia remota y más.
Los atacantes detrás de la campaña de phishing pretendían instalar el malware «Remcos» en los sistemas de las víctimas.

En la investigación técnica completa, el informe de los investigadores profundiza en los detalles del ataque, enfatizando las técnicas encubiertas utilizadas por los actores maliciosos para ejecutar su campaña de manera efectiva.

Manuel Rodríguez, Gerente de Ingeniería para NOLA de Check Point Software, comenta: ‘Nuestro análisis ofrece una visión del intrincado mundo de las técnicas de evasión y los procedimientos de desofuscación empleados por los atacantes. Al descifrar las funcionalidades ocultas de los módulos maliciosos BAT y .NET, pudimos arrojar luz sobre la complejidad del flujo de ataque. Comprender estas complejidades técnicas es esencial para mejorar las defensas de ciberseguridad y diseñar contramedidas efectivas para protegerse contra campañas de phishing tan avanzadas’.

Los usuarios de Check Point permanecen protegidos de las amenazas descritas en esta investigación. Harmony Email &Collaboration detecta y bloquea los ataques de phishing más avanzados en las comunicaciones entrantes, salientes e internas, en tiempo real, antes de que lleguen a los usuarios finales. Aprovechando la inteligencia artificial y el aprendizaje automático, analizando más de 300 indicadores de phishing.

¡MANTENGÁMONOS EN CONTACTO!

Nos encantaría que estuvieras al día de nuestras últimas noticias y ofertas 😎

Autorizo al Prensario y a los anunciantes a almacenar los datos solicitados y acepto que puedan enviarme comunicaciones de sus productos y servicios. *

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Etiquetas
61 3 minutos de lectura
Mostrar más

Publicaciones relacionadas

Segurinfo Iberoamericano: lo nuevo según los CISOs en 2024

04/24/2024

SEGURINFO 2024: epicentro de la innovación en seguridad informática

04/24/2024

Maximiliano Allo, de CustomIT: ‘Se está empezando a ver a la ciberseguridad como una parte integral del negocio, no como sólo un costo de sistemas’

04/24/2024

Edwin Guerrero, de OpenText: ‘Cuidamos la infraestructura de software desde un ángulo de 360 grados’

04/24/2024
Botón volver arriba