CIBERCRIMEN | Noticias | 20 MAY 2013

Detectan un nuevo intento de ciberespionaje

Tags: Actualidad
Expertos en seguridad de Trend Micro han descubierto una gran operación de ciber-espionaje que ha puesto en peligro hasta ahora los ordenadores de gobiernos, empresas de tecnología, medios de comunicación e instituciones investigadoras en más de un centenar de países.
PCWORLD PROFESIONAL

La mega-operación de ciberespionaje, bautizada por Trend Micro como SafeNet, podría haber atacado a sus víctimas potenciales con correos señuelo y documentos adjuntos infectados. Los analistas de esta firma acaban de publicar los resultados de una amplia investigación con importantes hallazgos.

El estudio pone al descubierto dos grupos de servidores C&C (Command-and-Control) utilizados para sendas campañas de ataque separadas, con objetivos diferentes pero el mismo malware.

Uno de los ataques utiliza mensajes señuelo (phishing), con contenido relacionado con el Tibet y Mongolia, y archivos adjuntos .doc que explotan una vulnerabilidad de Word, parcheada por Microsoft en 2012.

Tras acceder a los registros obtenidos por la primera campaña C&C, se reveló un total de 243 direcciones IP exclusivas atacadas en 11 países diferentes, mientras que el segundo ataque afectó a 11.363 direcciones IP.

Sin embargo, el número real de víctimas de ambos ataques es probable que sea mucho menor, según los investigadores. De media, unos 71 usuarios estaban comunicando activamente con estos servidores C&C en el momento del análisis, reconocen los analistas.

Los cinco primeros países atacados, por número de víctimas, fueron India, Estados Unidos, China, Pakistán, Filipinas y Rusia.

El malware instalado en los PCs infectados está diseñado básicamente para robar información, pero su funcionamiento puede ser mejorado con módulos malwareadicionales. Los investigadores encontraron componentes plug-in de propósito especial en los servidores command-and-control, además de programas que pueden utilizarse para extraer contraseñas guardadas de Explorer y Firefox, además de credenciales de escritorio remoto alojadas en Windows.

“Aunque la intención e identidad de los atacantes es difícil de determinar, sí está claro que la campaña SafeNet utiliza malware desarrollado por un ingeniero de software profesional que puede tener relación con las mafias de ciber-crimen chinas”, llegan a reconocer los expertos de Trend Micro que también creen probado que “este individuo ha estudiado en una universidad técnica china y parece tener acceso al repositorio del código fuente de una compañía de servicios de Internet”, concluyen.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información