Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Imprints09 escriba una noticia?

Hackers atacan a académicos japoneses con phishing para robar datos de investigación

08/03/2018 17:51 0 Comentarios Lectura: ( palabras)

Una campaña de phishing dirigida a académicos en Japón tiene una carga de malware que filtra contraseñas y documentos de las computadoras de las víctimas

BlackTech, el grupo responsable del ataque, se ha dirigido a organizaciones gubernamentales y contratistas del gobierno desde hace casi 10 años. Especialistas en seguridad de la información comentaron que la organización es conocida por usar vulnerabilidades vendidas en los círculos de hackers de Black Hat y filtraciones de Hacking Team.

robo de informacion.jpg

El grupo de ciberespionaje BlackTech, que se ha centrado en organizaciones de Asia oriental desde al menos 2010, en los últimos meses ha participado en una campaña de phishing por correo electrónico, que pretende ser del Ministerio japonés de Educación, Cultura, Deportes, Ciencia y Tecnología, conocido como MEXT. Estos correos electrónicos contienen enlaces a descargas de Dropbox que contienen malware llamado TSCookie por JPCERT que es el primer Computer Security Incident Response Team CSIRT de Japón.

TSCookie funciona como un cuentagotas que se conecta a un servidor de comando y control C & C para descargar el malware TSCookieRAT. Las variantes de TSCookie históricamente han dependido de las vulnerabilidades de anulación de derecha a izquierda RTLO, recientemente CVE-2017-0199, una vulnerabilidad en el manejo de Microsoft Office de los documentos RTF que un grupo desconocido utilizó en agosto pasado en un ataque de spear phishing. Otras variantes se basan en una vulnerabilidad de Adobe Flash desarrollada por la firma italiana “Hacking Team”, que a su vez fue hackeada. Una versión similar de TSCookie se basó en una vulnerabilidad Flash relacionada también divulgada en el volcado de datos del Hacking Team.

Según expertos en seguridad de la información, TSCookie también utiliza las características de VPN de enrutadores vulnerables para crear nuevos servidores de C & C o nuevos servidores desde los cuales propagarse. También utiliza la vulnerabilidad CVE-2017-7269 en Microsoft IIS 6.0 para crear servidores adicionales de C & C.

El correo electrónico solicita al lector que envíe información sobre los planes de investigación

La carga útil TSCookieRAT es capaz de ejecutar comandos de shell arbitrarios en una computadora infectada, así como enviar información de la unidad y el sistema a los atacantes, de acuerdo al informe de los investigadores de seguridad de la información. Además, puede enviar archivos y metadatos de archivos a los atacantes, y tiene una función para recolectar y transmitir contraseñas de Internet Explorer, Edge, Chrome, Firefox y Microsoft Outlook.

Además, otra carga utilizada por BlackTech contiene un token de actualización vinculado a cuentas de Gmail específicas utilizadas por los atacantes, que a su vez están vinculadas a una cuenta de Google Drive. Los archivos robados se cargan en estas unidades de Google, donde los atacantes pueden recolectarlos.

Esta campaña de phishing utilizó una línea de asunto que se traduce como “2018 MEXT Research Program”. El correo electrónico solicita al lector que envíe información sobre los planes de investigación. Dada la naturaleza de captura de archivos del malware, se puede decir que los atacantes están intentando robar datos de investigación.

Anteriormente BlackTech ha sido identificado por expertos de seguridad de la información como creador de ataques similares, incluido “Shrouded Crossbow”, que utiliza versiones modificadas del código fuente de puerta trasera BIFROST, que según la compañía estaba a la venta por $ 10, 000. Teniendo esto en cuenta, BlackTech parece estar bien financiado, pero parece no tener la capacidad independiente de descubrir vulnerabilidades para usar en ataques.


Sobre esta noticia

Autor:
Imprints09 (123 noticias)
Visitas:
3018
Tipo:
Reportaje
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.