Video: El Fraude Nigeriano: Desfalcos por amor a través de redes sociales - Al Aire con Paola (Noviembre 2024)
Esos príncipes nigerianos tienen nuevos trucos bajo la manga.
¿Recuerdas esas 419 estafas? Estos fueron los mensajes de correo electrónico a menudo mal escritos que pretenden ser de un individuo rico dispuesto a pagar generosamente por la ayuda para transferir su riqueza fuera del país. En realidad, cuando las víctimas entregaron sus detalles financieros para ayudar y obtener una gran recompensa, los estafadores saquearon las cuentas bancarias y desaparecieron.
Parece que esos estafadores han aprendido técnicas de ataque y malware de robo de datos previamente utilizado por grupos más sofisticados de cibercrimen y ciberespionaje, dijeron investigadores de Palo Alto Networks. Investigadores de la Unidad 42, el equipo de inteligencia de amenazas de la compañía, describieron la serie de ataques contra empresas taiwanesas y surcoreanas en el informe "419 Evolution" publicado el martes.
En el pasado, las estafas de ingeniería social se dirigían principalmente a "individuos adinerados e incautos". Con nuevas herramientas en la mano, estos 419 estafadores parecen haber cambiado el grupo de víctimas para incluir empresas.
"Los actores no muestran un alto nivel de perspicacia técnica, pero representan una amenaza creciente para las empresas que anteriormente no habían sido sus objetivos principales", dijo Ryan Olson, director de inteligencia de la Unidad 42.
Ataques sofisticados de los no iniciados
Palo Alto Networks rastreó los ataques, denominados "Silver Spaniel" por los investigadores de la Unidad 42, durante los últimos tres meses. Los ataques comenzaron con un archivo adjunto de correo electrónico malicioso, que al hacer clic, instalaba malware en la computadora de la víctima. Un ejemplo es una herramienta de administración remota (RAT) llamada NetWire, que permite a los atacantes hacerse cargo de forma remota de máquinas Windows, Mac OS X y Linux. Otra herramienta, DataScrambler, se utilizó para reempaquetar NetWire para evadir la detección por parte de programas antivirus. DarkComet RAT también se ha utilizado en estos ataques, según el informe.
Estas herramientas son económicas y están fácilmente disponibles en foros clandestinos, y podrían ser "implementadas por cualquier persona con una computadora portátil y una dirección de correo electrónico", según el informe.
Los 419 estafadores eran expertos en ingeniería social, pero eran novatos cuando se trataba de trabajar con malware y "mostraban una seguridad operativa notablemente deficiente", según el informe. Aunque la infraestructura de comando y control fue diseñada para usar dominios DNS dinámicos (de NoIP.com) y un servicio VPN (de NVPN.net), algunos de los atacantes configuraron los dominios DNS para que apuntaran a sus propias direcciones IP. Los investigadores pudieron rastrear las conexiones con los proveedores nigerianos de Internet móvil y satelital, según el informe.
Los estafadores tienen mucho que aprender
Por el momento, los atacantes no están explotando ninguna vulnerabilidad de software y siguen confiando en la ingeniería social (en la que son muy buenos) para engañar a las víctimas para que instalen malware. Parecen estar robando contraseñas y otros datos para lanzar ataques de ingeniería social de seguimiento.
"Hasta ahora no hemos observado ninguna carga útil secundaria instalada o ningún movimiento lateral entre sistemas, pero no podemos descartar esta actividad", escribieron los investigadores.
Los investigadores descubrieron a un nigeriano que mencionó el malware repetidamente en Facebook, preguntando sobre características específicas de NetWire o pidiendo soporte para trabajar con Zeus y SpyEye, por ejemplo. Si bien los investigadores aún no han vinculado a este actor específico con los ataques de Silver Spaniel, fue un ejemplo de alguien "que comenzó su carrera criminal operando 419 estafas y está evolucionando su oficio para usar herramientas de malware que se encuentran en foros clandestinos", dijo Palo Alto Networks.
El informe recomienda bloquear todos los archivos adjuntos ejecutables en los correos electrónicos e inspeccionar los archivos.zip y.rar para detectar posibles archivos maliciosos. Los cortafuegos también deberían bloquear el acceso a los dominios dinámicos de DNS comúnmente abusados, y los usuarios deben ser entrenados para sospechar de los archivos adjuntos, incluso cuando los nombres de los archivos parecen legítimos o relacionados con su trabajo, dijo Palo Alto Networks. El informe incluyó las reglas de Snort y Suricata para detectar el tráfico de Netwire. Los investigadores también lanzaron una herramienta gratuita para descifrar y decodificar comandos y controlar el tráfico y revelar datos robados por los atacantes de Silver Spaniel.
"En este momento no esperamos que los actores de Silver Spaniel comiencen a desarrollar nuevas herramientas o exploits, pero es probable que adopten nuevas herramientas hechas por actores más capaces", dijo el informe.
