Socio de ESET comprometido para enviar datos a organizaciones israelíes

Iniciado por Dragora, Octubre 21, 2024, 12:02:30 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.


Los piratas informáticos comprometieron a un socio exclusivo de ESET en Israel para llevar a cabo una campaña de phishing dirigida a empresas israelíes, utilizando borradores de datos disfrazados de software antivirus con fines destructivos. Un borrador de datos es un tipo de malware diseñado para eliminar todos los archivos de un sistema y, a menudo, corromper la tabla de particiones, lo que complica la recuperación de los datos.

La campaña de phishing, que comenzó el 8 de octubre, involucró correos electrónicos que simulaban provenir del "Equipo de Defensa contra Amenazas Avanzadas de ESET", enviados desde el dominio legítimo No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Esto sugiere que los servidores de correo electrónico del distribuidor israelí de ESET, Comsecure, fueron comprometidos como parte del ataque. Los correos electrónicos falsificados advertían a los destinatarios que sus dispositivos estaban bajo amenaza de actores maliciosos respaldados por el gobierno, y ofrecían una herramienta antivirus avanzada llamada "ESET Unleashed" como solución.

Los correos electrónicos contenían encabezados que pasaron las verificaciones de autenticación SPF, DKIM y DMARC, lo que ayudó a que el ataque pareciera más legítimo. Además, el enlace para descargar el software malicioso se alojaba en el propio dominio de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, reforzando la autenticidad percibida del mensaje. El archivo descargable era un archivo ZIP que contenía cuatro archivos DLL legítimos firmados digitalmente por ESET, junto con un ejecutable llamado Setup.exe, que no estaba firmado y actuaba como un borrador de datos malicioso.

BleepingComputer investigó el ataque y descubrió que el Setup.exe, aunque se bloqueaba en máquinas virtuales, funcionaba correctamente en PCs físicas. El experto en ciberseguridad Kevin Beaumont también confirmó que el archivo malicioso utilizaba técnicas para evadir la detección y se conectaba a un sitio web legítimo israelí, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Beaumont explicó que el ejecutable contenía signos obvios de comportamiento malicioso, como el uso de un Mutex asociado con el grupo de ransomware Yanluowang.

Aunque aún no está claro cuántas empresas israelíes fueron afectadas por esta campaña de phishing, el uso de borradores de datos sugiere que el objetivo del ataque era la destrucción de información, en lugar de la obtención de beneficios económicos. Los borradores de datos han sido utilizados anteriormente en ataques dirigidos a Israel, como el malware "IsraBye", descubierto en 2017, y la ola de ataques "BiBi" en 2023, que afectó a sectores clave como la educación y la tecnología en Israel.

Estos ataques anteriores han sido atribuidos a actores de amenazas iraníes, que buscan interrumpir la economía israelí mediante tácticas destructivas. En este caso, aunque no se ha identificado al grupo responsable, el modus operandi sugiere una motivación similar. Los borradores de datos han sido una herramienta recurrente en campañas de ciberataques geopolíticos, y este incidente refuerza la importancia de la ciberseguridad en un entorno cada vez más complejo.

Comsecure, el distribuidor israelí de ESET, no ha respondido aún a las solicitudes de comentarios sobre cómo fue comprometido su sistema. Tampoco está claro si el ataque fue detectado y mitigado antes de que causara daños generalizados. Sin embargo, el incidente subraya la necesidad de estar alerta frente a los ataques de phishing, incluso cuando parecen provenir de fuentes confiables.

Este tipo de ataques no solo pone en riesgo la reputación de las empresas, sino que también amenaza la integridad de los datos y la seguridad de los usuarios. Para prevenir incidentes similares, las empresas deben revisar continuamente sus sistemas de seguridad, actualizar sus prácticas de autenticación y ser proactivas en la detección de amenazas. En un mundo digital donde los ciberataques son cada vez más sofisticados, la prevención es clave para minimizar los daños potenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta