Estos piratas informáticos pretenden cazar furtivamente y reclutar personal de bancos rivales en nuevos ciberataques



Los piratas informáticos fingen robar personal bancario en una ola de ataques contra el sector financiero africano. En las últimas semanas, se ha visto a los actores de amenazas utilizando correos electrónicos y mensajes de reclutamiento para atraer a las personas que están considerando mudarse de su empleo actual a compañías financieras rivales. Sin embargo, los correos electrónicos no contienen ofertas de trabajo genuinas: en su lugar, contienen sorpresas maliciosas.
El martes, el equipo de investigación de amenazas de HP Wolf Security dijo que la campaña se dirige específicamente a personas que ya trabajan en el sector bancario africano. Los correos electrónicos de phishing se disfrazan con los nombres de los bancos rivales a través de errores tipográficos y preguntan a la víctima potencial si está interesada en nuevas oportunidades laborales. El 'reclutador' también usa una dirección de respuesta con errores tipográficos para parecer más legítimo.
Si un individuo se tambalea, el atacante envía un archivo adjunto HTML, Fiche de dossiers.htm (traducción: hoja/tarjeta de archivo), un Base64 archivo ISO codificado. Si la víctima intenta abrir el archivo, el contenido se descodifica y se muestra como un aviso de descarga web, en una técnica conocida como contrabando de HTML.
"Cuando el usuario abre el archivo adjunto HTML usando un navegador web, se le solicita que descargue el archivo, que ya está almacenado en el sistema local", dijeron los investigadores. "De esta manera, el contrabando de HTML elude los controles de seguridad que bloquean el tráfico de sitios web maliciosos, como los proxies web". La ISO contiene una secuencia de comandos VBS que, al hacer doble clic, desencadena la creación de una clave de registro en el sistema afectado para la persistencia, la ejecución de secuencias de comandos de PowerShell y la implementación de GuLoader.
GuLoader es un cargador para servir a las víctimas del malware RemcosRAT. RemcosRAT es un troyano de acceso remoto (RAT) comercialmente disponible por suscripción económica para los ciberdelincuentes. El malware de Windows puede realizar registros de teclas, tomar capturas de pantalla, realizar vigilancia a través de cámaras y micrófonos de PC, robar datos del sistema operativo y archivos personales, recolectar actividad del navegador y descargar más cargas útiles maliciosas.
Al apuntar a personas que ya están en el sector bancario, es posible que los atacantes cibernéticos intenten obtener acceso a las redes de bancos comerciales, ya sea a través de máquinas corporativas o dispositivos personales cuando los empleados trabajan de forma remota. "El atacante podría aprovechar la posición del empleado en el banco, ya que tendría acceso a su cuenta de correo electrónico corporativa", señalaron los investigadores. "[Podrían] moverse lateralmente con el objetivo de comprometer los controladores de dominio para implementar ransomware.
También podrían robar datos confidenciales/protegidos que podrían usarse para extorsionar al objetivo". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı