Las campañas de phishing que distribuyen familias de malware, como DarkGate y PikaBot, siguen las mismas tácticas utilizadas en ataques anteriores que aprovechaban el ya desaparecido troyano QakBot.
«Estas incluyen hilos de correo electrónico secuestrados como infección inicial, URL con patrones únicos que limitan el acceso de los usuarios y una cadena de infección casi idéntica a la que hemos visto con la entrega de QakBot», informó Cofense en un informe compartido con The Hacker News.
«Las familias de malware utilizadas también siguen el ejemplo que esperaríamos que usaran los afiliados de QakBot».
QakBot, también conocido como QBot y Pinkslipbot, fue desactivado como parte de un esfuerzo coordinado de aplicación de la ley denominado Operación Duck Hunt a principios de agosto.
El uso de DarkGate y PikaBot en estas campañas no sorprende, ya que ambos pueden actuar como conductos para entregar cargas útiles adicionales a los hosts comprometidos, convirtiéndolos en una opción atractiva para los ciberdelincuentes.
Zscaler destacó previamente los paralelos de PikaBot con QakBot en su análisis del malware en mayo de 2023, señalando similitudes en los «métodos de distribución, campañas y comportamientos del malware».
DarkGate, por su parte, incorpora técnicas avanzadas para evadir la detección de los sistemas antivirus, junto con capacidades para registrar pulsaciones de teclas, ejecutar PowerShell e implementar un shell inverso que permite a los operadores controlar un host infectado de forma remota.
«La conexión es bidireccional, lo que significa que los atacantes pueden enviar comandos y recibir respuestas en tiempo real, permitiéndoles navegar por el sistema de la víctima, extraer datos o realizar otras acciones maliciosas», según un nuevo informe técnico de Sekoia sobre el malware.
El análisis de Cofense de la campaña de phishing de gran volumen muestra que se dirige a una amplia gama de sectores. Las cadenas de ataque propagan una URL trampa que apunta a un archivo ZIP en hilos de correo electrónico secuestrados.
El archivo ZIP contiene un cuentagotas de JavaScript que, a su vez, contacta una segunda URL para descargar y ejecutar el malware DarkGate o PikaBot.
Se ha observado una variante notable de los ataques que aprovecha los archivos complementarios de Excel (XLL) en lugar de los cuentagotas de JavaScript para entregar las cargas útiles finales.
«Una infección exitosa de DarkGate o PikaBot podría conducir a la entrega de software avanzado de criptominería, herramientas de reconocimiento, ransomware o cualquier otro archivo malicioso que los actores de amenazas deseen instalar en la máquina de la víctima», advirtió Cofense.
Fuente y Redacción: thehackernews.com
Malware: Abreviatura de «software malicioso», es un tipo de software diseñado para dañar o infiltrarse en sistemas informáticos sin el conocimiento o el consentimiento del usuario. Puede incluir virus, gusanos, troyanos, ransomware y spyware, entre otros, y su objetivo principal es causar daño, robar información o comprometer la seguridad de un sistema o red.
El phishing es una forma de fraude en línea que utiliza tácticas engañosas para obtener información confidencial, como contraseñas y datos financieros, haciéndose pasar por entidades confiables. Los atacantes suelen enviar correos electrónicos falsos o mensajes engañosos, simulando ser instituciones legítimas, con el objetivo de engañar a las personas para que revelen información sensible o hagan clic en enlaces maliciosos. El propósito final es el robo de datos o la instalación de malware en el dispositivo de la víctima. La concientización y la precaución son clave para evitar caer en estas trampas cibernéticas.
El Phishing Ético, también conocido como Phishing Test o Phishing Educativo, consiste en simular ataques controlados de ingeniería social, como correos de phishing, mensajes de smishing o llamadas de vishing. El propósito es evaluar la conciencia y preparación del equipo humano ante posibles ciberamenazas. En lugar de un ataque malicioso, expertos en ciberseguridad diseñan y ejecutan campañas simuladas para medir la capacidad de los usuarios para detectar y responder a fraudes. El enfoque se centra en evaluar respuestas y comportamientos para fortalecer la educación en ciberseguridad y evitar que los usuarios se conviertan en el eslabón más vulnerable de la organización en el futuro.
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.