Esta presentación describe una extensa campaña activa de malware, phishing, en varios países de América Latina, entre ellos Ecuador, Argentina, Venezuela y Brasil.
2. Esta presentación describe una extensa campaña
activa de malware, phishing, en varios países de
América Latina, entre ellos Ecuador, Argentina,
Venezuela y Brasil. La distribución geográfica de los
blancos parece apuntar a un patrocinador o
patrocinadores, con los intereses regionales,
políticos. Los atacantes, conocen como Packrat,
han mostrado un gran interés y sistemática en la
oposición política y la prensa independiente en los
llamados países del ALBA. Estos países están ligados
por un acuerdo comercial, así como la cooperación
en una serie de asuntos financiera y no financiera
según Investigadores de curso hacking ético.
Packrat Malware
3. Según curso de Seguridad Informática, esta
presentación reúne muchas de las piezas de esta
campaña, de malware, phishing, de comando y
control infraestructura distribuidos en América
Latina. También se destacan las organizaciones en
línea falsos que Packrat ha creado en Venezuela y
Ecuador. Evaluamos varios escenarios, y
consideramos los más propensos a ser que es
patrocinado por un actor estatal o actores
Packrat, dada su aparente falta de preocupación
por el descubrimiento, sus objetivos y su
persistencia. Sin embargo, no nos atribuimos
Packrat a un patrocinador particular.
Packrat Malware
4. Se ha observado una serie de técnicas de
ingeniería social utilizadas para enviar software
malicioso a los objetivos ecuatorianos. En los
casos donde se observa siembra, se encontró
que el malware se acompaña a menudo de
contenido política, con frecuencia
correspondiente a la oposición de Ecuador. En
otros casos, la siembra fue personalizada a la
víctima. El mecanismo de entrega más común
era a través de archivos de Microsoft Word
DOCX que contienen malicioso Java. Sin
embargo, en otros casos, los atacantes utilizan
actualizaciones falsas señalan expertos con
certificaciones de seguridad informática.
Packrat Malware
5. Maestro de curso de seguridad Informática,
packrat explica que el malware utiliza a menudo
los remitentes de correo electrónico y sitios web en
su ingeniería social que aparecen similares a las
organizaciones y personas reales. Por ejemplo, se
registraron ecuadorenvivo.co, que se parece al
dominio real del sitio web de noticias Ecuador En
Vivo (ecuadorenvivo.com). Packrat entonces envió
correos electrónicos que pretenden ser
actualizaciones de noticias de correo electrónico
(una práctica por el verdadero Ecuador En Vivo)
del dominio ecuadorenvivo.co. Packrat también a
veces crea trayectorias idénticas a las noticias
reales, y oculta en enlaces.
Packrat Malware
6. Investigadores de curso hacking ético mencionan
que el correo electrónico también contiene una
imagen de rastreo de la mesvr.com de dominio,
que es comúnmente utilizado por ReadNotify, un
servicio utilizado para realizar un seguimiento de la
entrega de mensajes de correo electrónico.
Parece que los atacantes tenían la esperanza de
obtener información adicional acerca de sus
objetivos, como posiblemente adquirir las
direcciones IP de los objetivos que podrían ser
reacios a abrir los archivos.
Cómo funciona Packrat Malware
7. En los últimos siete años Packrat ha utilizado
diferentes tipos de malware, tanto ratas estándares,
como el Cybergate, Xtreme, AlienSpy y Adzok.
Mientras que estas familias de malware son
conocidas por los investigadores, Packrat
típicamente ofusca su malware usando una
variedad de herramientas, incluyendo: un
desconocido VB6 crypter, AutoIt3Wrapper, UPX,
PECompact, PEtite y Allatori Obfuscator. Esta capa
de ocultación significa que Packrat ataca con
frecuencia escapada detección antivirus cuando
desplegaron a los ataques según expertos con
certificaciones seguridad informática de
international institute of cyber security
Cómo funciona Packrat Malware
8. CONTACTO www.iicybersecurity.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845