Noticias

Atacantes esconden el C&C de su malware en los comentarios de Microsoft TechNet

Expertos en seguridad y técnicos de Microsoft han descubierto un ataque informático que se estaba distribuyendo desde el propio blog técnico de Microsoft. Los cibercriminales habían escondido sus controles de ataque en el sector de comentarios y los perfiles de Microsoft TechNet para dar órdenes al programa malicioso BlackCoffee.

Los analistas de seguridad de FireEye realizaron la investigación del caso en conjunto con expertos de Microsoft Threat Intelligence Center y descubrieron que el responsable del ataque es el grupo APT 17, también conocido como DeputyDog. Este grupo opera desde China y es conocido por intrusiones anteriores a reconocidas víctimas que incluyen entidades gubernamentales, asociaciones de abogados, organizaciones de la industria de defensa y compañías de tecnología informática, entre otras.

“FireEye ha determinado que APT17, un grupo de amenazas persistentes avanzadas con sede en China, ha publicado mensajes en el foro y creado perfiles para alojar direcciones IP de Comando y Control que dirigen a una variante de la puerta trasera Blackcoffee a su servidor C2C”, explicó la compañía de seguridad.

“[Los atacantes] usaron infraestructura legítima – la capacidad de publicar o generar comentarios en foros y páginas de perfil – para integrar una cadena de caracteres que el malware decodificaría para encontrar y comunicarse con la verdadera dirección IP de Comando y Control”, agregó la empresa en su informe sobre la amenaza.

Los expertos creen que utilizaron el sector de comentarios del foro de Microsoft para esconderse de los análisis de seguridad. También aseguraron que esto no se debe a una falla de seguridad de Microsoft, ya que el mismo ataque sería posible en la mayoría de los foros.

El programa malicioso Blackcoffee tiene la capacidad de subir, bajar, mover, renombrar y eliminar ficheros. También puede terminar procesos y agregar nuevos comandos de puertas traseras, entre otra cosas. El grupo DeputyDog está utilizando este programa en sus ataques desde 2013.

Fuentes

IT World

PC World

Help Net Security

Atacantes esconden el C&C de su malware en los comentarios de Microsoft TechNet

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada