Red de información TI para profesionales ITMedia NetWork

domingo, 25 de octubre de 2020
Actualizado a las 11:32


Búsqueda avanzada

Publicidad

Publicidad

Últimas noticias

Un troyano basado en COMPFun ataca a embajadas y consulados vía visados falsos

22 Mayo 2020por Redacción

El pasado noviembre, las tecnologías de Kaspersky descubrieron ataques a cuerpos diplomáticos europeos con la propagación inicial del malware disfrazada de una solicitud de visado falsa. Ahora, análisis más profundos revelan que ese software espía utiliza la misma base de código que COMPFun.

El spyware se propaga a través de los dispositivos de las víctimas para recopilar y transmitir datos al autor de la amenaza. Es muy utilizado por varias APT y su peligro es equivalente al de la victimología seleccionada: sea el gobierno o sectores de infraestructura crítica, la información obtenida podría ser de gran valor para los operadores de malware, y provocar muchos cambios en el escenario afectado.

La combinación de un enfoque adaptado a sus objetivos, con la capacidad de generar y ejecutar sus ideas, hace que los desarrolladores que están detrás de COMPFun sean sin duda un potente equipo ofensivo

Kurt Baumgartner

Según Kaspersky, el troyano detectado tiene grandes similitudes de código con el de COMPFun, del que se informó por primera vez en el año 2014 y que en 2019, la industria ya encontró un sucesor, el malware Reductor.

En cuanto a las funciones del nuevo troyano se incluye la capacidad de obtener la geolocalización del objetivo, recopilar datos relacionados con el servidor y la red, registrar las pulsaciones de teclas y realizar capturas de pantalla.

De acuerdo con los expertos de la compañía de ciberseguridad, se trata de un troyano completamente desarrollado que es capaz también de propagarse en dispositivos extraíbles. De hecho, en su primera etapa como dropper en el que se descarga de la red local compartida, mantiene el nombre del archivo relacionado con el proceso de solicitud de visado, que se corresponde con las entidades diplomáticas destinatarias. La solicitud legítima se mantiene cifrada dentro del dropper, junto con el malware de 32 y 64 bits de la siguiente etapa.

Basándose en la victimología, Kaspersky asocia el malware original COMPFun, con el grupo de APT Turla con un nivel de confianza medio-bajo.

Para Kurt Baumgartner, investigador principal de seguridad de Kaspersky, “los operadores de malware mantienen como objetivo las instituciones diplomáticas y en la aplicación de solicitud de visado, almacenada en un directorio compartido dentro de la red local, ya que el vector de contagio inicial está a su favor”.

“La combinación de un enfoque adaptado a sus objetivos, con la capacidad de generar y ejecutar sus ideas, hace que los desarrolladores que están detrás de COMPFun sean sin duda un potente equipo ofensivo”.

Así, con el objetivo de mantener a las organizaciones protegidas de amenazas como COMPfun, Kaspersky hace las siguientes recomendaciones:

  • Realizar periódicamente auditorías de seguridad en la infraestructura de TI
  • Utilizar una solución eficaz de seguridad para endpoints, como Kaspersky Endpoint Security for Business, con protección contra amenazas de archivos, y mantenerla actualizada para que pueda detectar los últimos ejemplos de malware
  • Activar soluciones EDR como Kaspersky Endpoint Detection and Response para detectar, investigar y reparar de manera oportuna los incidentes en los endpoints
  • Implementar una solución de seguridad corporativa que detecte amenazas avanzadas en el nivel de la red en una fase temprana, como Kaspersky Anti Targeted Attack Platform, además de adoptar una protección básica para los endpoints
  • Proporcionar al equipo del SOC acceso a la última Inteligencia de Amenazas para mantenerse al día con las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y cibercriminales.

Más información en Securelist en https://securelist.com/compfun-http-status-based-trojan/96874/ y en www.kaspersky.es

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Francisco José Fernández Romero, socio-director de Cremades Calvo Sotelo Sevilla

Riesgos a los que se exponen las empresas TIC sin una política de cumplimiento

El compliance tecnológico es una herramienta jurídica clave para evitar no solo sanciones, sino pérdidas financieras y de reputación y daños económicos a terceros, defiende en esta tribuna Francisco José Fernández Romero, socio-director de Cremades & Calvo Sotelo Sevilla

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2020 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar