Hace a penas dos días un grupo de investigación de Kaspersky Labs, dio a conocer una nueva amenaza de malware conocida como Careto o Mascara, la cual infecto organizaciones gubernamentales, compañías de energía, petróleo y gas, así como a
otras víctimas de perfil alto. Se
han contabilizado más de 380 víctimas únicas entre más de 1000 IPs. Las infecciones se han observado en:
Argelia, Argentina , Bélgica, Bolivia , Brasil , China, Colombia, Costa
Rica, Cuba , Egipto, Francia , Alemania, Gibraltar, Guatemala, Irán ,
Irak, Libia, Malasia , Marruecos, México, Noruega, Pakistán, Polonia,
Sudáfrica, España, Suiza, Túnez, Turquía, Reino Unido, Estados Unidos y
Venezuela.
Figura 1: Países Infectado por la mascara.
Los ciberatacantes tenían como
reto principal recopilar datos sensibles de los sistemas infectados, incluyendo, diversas claves de cifrado, configuraciones
VPN, claves SSH (que sirve como medio de identificación de un usuario a un
servidor SSH) y archivos RDP (utilizado para abrir automáticamente una conexión
a una computadora reservada).
Según el informe de análisis de Kaspersky Lab, la campaña
de La Máscara se basa en el envío de mensajes de correo electrónico phishing
con vínculos a un sitio web malicioso. El sitio web malicioso contiene una
serie de exploits diseñados para infectar a los visitantes en función de la
configuración del sistema. Después de la infección, el sitio malicioso redirige
al usuario a la página web legítima de referencia en el correo electrónico, que
puede ser una película de YouTube o un portal de noticias.
Es importante tener en cuenta que el exploit en sitios web no infecta
automáticamente a los visitantes. En su lugar, los atacantes reciben los
exploits en carpetas específicas en el sitio web, que no están directamente
referenciados en ningún lugar, excepto en mensajes de correo electrónico maliciosos.
A veces, los atacantes utilizan subdominios en los sitios web para que parezcan
más reales. Estos subdominios simulan las secciones de los principales
periódicos de España, además de algunos internacionales, por ejemplo, "The
Guardian" y "The Washington Post".
El malware intercepta todos los canales de comunicación y recoge la información
más importante del sistema infectado. La detección es extremadamente difícil
debido a las capacidades del rootkit sigiloso. Careto es un sistema altamente
modular, soporta plugins y archivos de configuración, que le permiten realizar
un gran número de funciones. Además de las funcionalidades incorporadas, los
operadores de Careto podían cargar módulos adicionales que podrían llevar a
cabo cualquier tarea malicioso.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario