El objetivo de la campaña es infectar a las víctimas con el troyano DCRat, una variante de AsyncRAT, un software usado en varias campañas maliciosas de la región. La cadena de infección inicia con archivos comprimidos que utilizan nombres que aparentan ser comunicaciones judiciales o gubernamentales como, por ejemplo, “Informe Especial Notificado Nro. 113510000548595265844”, lo cual según ESET deja pensar que se trata de una propagación a través de correo electrónico.

Este método de propagación de archivos comprimidos con malware vía correos electrónicos –malspam– coincide con investigaciones previas de ESET en la región, que ha advertido acompañamiento con el uso de temáticas que generan temor o urgencia en la víctima para aumentar la probabilidad de que el destinatario ejecute el archivo malicioso.

Metadatos del binario analizado: la amenaza presenta sus campos de metadatos configurados para aparentar ser una aplicación de Adobe

“Al analizar lo metadatos, se observa que los mismos buscan aparentar ser de la aplicación Adobe pero no cuentan con una firma digital válida ni certificado asociado, lo cual confirma que no se trata de un binario legítimo emitido por la compañía”, comenta Martina López, Investigadora de Seguridad informática de ESET Latinoamérica.

DCRat, es uno de los tantos forks existentes de AsyncRAT y uno de los más propagados mundialmente. DCRat incluye las funcionalidades típicas de un troyano de acceso remoto, entre las que se destacan:

• Captura de pantalla y webcam
• Registro de teclas (keylogger)
• Administración de archivos y procesos
• Ejecución remota de comandos (CMD/PowerShell)
• Carga y descarga de archivos
• Acceso a credenciales almacenadas (browsers, sistemas)
• Persistencia mediante modificaciones en el registro o carpetas de inicio
• Autoactualización del binario
• Plugins adicionales descargables desde el servidor de Comando y Control

Inicialmente, el código malicioso envía información básica del sistema al servidor C&C, que funciona tanto para identificar a la víctima como para la toma de decisiones por parte de los atacantes sobre ejecución de otras amenazas en el sistema.

Función del payload que recopila la información identificadora de la víctima. Así es como DCRat envía la información básica de la víctima hacia el servidor C&C

“Más allá de modificaciones estructurales, entre las ´mejoras´ -por así decirlo- más destacables que presenta DCRat con respecto a AsyncRAT es el robustecimiento de las capacidades anti-análisis. Esto se refleja en, por ejemplo, la inclusión de una función que aborta la ejecución de la amenaza si encuentra procesos relacionados con análisis dinámico de malware o de monitoreo del sistema. DCRat también implementa otras técnicas de evasión como la desactivación de componentes AMSI así como ETW patching, que funcionan desactivando las funciones de seguridad que detectan y registran comportamientos maliciosos”, complementa López de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

“En el último semestre de 2024 se observaron cambios en el panorama de los infostealers, estos malware “silenciosos” diseñados para robar información confidencial mostraron un aumento de la actividad en el segundo semestre y se posicionan para este 2025 como amenazas centrales para la seguridad de las organizaciones, sobre todo en aquellas que no implementan la autenticación de dos factores”, comenta y comparte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según los datos presentados en el ESET Threat Report del último semestre del año pasado, el alza de la actividad infostealer estuvo motorizada, entre otros factores, por el crecimiento de la actividad de Formbook, y Lumma Stealer que sorprendió con un aumento récord de detecciones. Estos infostealers utilizan el modelo MaaS («malware as a service») en que los cibercriminales ofrecen un paquete de malware en mercados ilegales, con herramientas y plataformas a cambio de una suscripción, generalmente, y esto permite a actores maliciosos menos capacitados lanzar ataques, y expandirse rápidamente.

ESET analiza los infostealers más destacados

Formbook: Este malware, si bien es conocido al menos desde 2016, escaló en el ranking de detecciones hacia el final de año pasado y se posicionó como principal amenaza infostealer con un aumento en sus detecciones en la telemetría ESET de un 200%.

También conocido como XLoader, se difunde principalmente por medio de adjuntos maliciosos en correos electrónicos de phishing. Es un infostealer que recolecta datos del portapapeles, registros de tecleo, capturas de pantalla y cachés de navegadores web.

Correo de phishing distribuyendo formbook

Lumma Stealer: Logró posicionarse por primera vez en el top 10 de detecciones de ESET en el segundo semestre de 2024. En total, en ese periodo mostró un crecimiento récord de 395% más de 50.000 detecciones registradas. El mayor número de detecciones se focalizaron en Perú, Polonia, España, México y Eslovaquia.

Detecciones de telemetría ESET donde se observa el crecimiento de Lumma

Se dirige a las extensiones de navegador para autenticación de dos factores, las credenciales de usuario y billeteras de criptomonedas.

Algunos de los métodos para su distribución fueron a través de repositorios de GitHub, haciéndose pasar por un editor de imágenes IA EditPro, o a través de archivos e instaladores parcheados, principalmente los KMS de copias ilegítimas de Windows. En una investigación de ESET Research, de octubre, se descubrió que varios criptors contenían este infostealer listo para infectar dispositivos de jugadores que buscaban bots de granja o autoclickers (mejoras para el juego) del popular Hamster Kombat (en repositorios de GitHub).

Lumma Stealer distribuyéndose en respositorio de GitHub

RedLine: Activo desde 2020, luego de la Operación Magnus de octubre 2024, se observó un declive en la actividad de este infostealer aunque no ha desaparecido por completo. Se han observado campañas de phishing pasivas que entregan RedLine en comentarios de YouTube o en repositorios de GitHub.

Aunque el creador de este malware no fue arrestado, los expertos estiman que no habrá un intento de resucitarlo. “Si bien podría, en teoría, comprar o alquilar nuevos servidores y usar el código existente para configurar nueva infraestructura y distribuir paneles a los afiliados, ha sido identificado y acusado, por lo que probablemente querrá mantener un perfil bajo … Podemos esperar que el vacío de poder dejado por el desmantelamiento de RedLine conduzca a un aumento en la actividad de otros infostealer MaaS”, advierte Alexandre Côté Cyr, malware researcher de ESET en el reporte.

Prevención: Para mitigar esta amenaza, desde ESET son informadas y recomendadas las siguientes medidas proactivas para organizaciones

1. Implementar la autenticación multifactor en todos los accesos.
2. Educar a las y los empleados sobre los riesgos de correos de phishing.
3. Monitorear y restringir el acceso a repositorios no confiables.
4. Invertir en soluciones de seguridad que detecten y prevengan malware avanzado.

“Los infostealers continuarán desempeñando un rol central en las violaciones de datos, y esto pone en relieve que serán fundamentales en el robo de credenciales en entornos qué no apliquen la autenticación de dos factores. Además, el modelo de MaaS que facilita el acceso a estas herramientas incluso para atacantes con poca experiencia, amplifica el riesgo”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Coordenadas de contacto. Para obtener más información, visite el sitio web de ESET: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET).

DOBLE LLAVE

Con información e imagen referencial suministrada por ESET y Comstat Rowland Comunicaciones Estratégicas

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Este año, la Policía Federal Australiana (AFP) arrestó a un hombre bajo la acusación de haber instalado redes Wi-Fi gratuitas en aeropuertos y vuelos nacionales, para obtener información personal y sensible de sus víctimas.

“La Policía Federal Australiana arrestó a un hombre bajo el cargo de haber creado redes Wi-Fi apócrifas que imitaban ser redes legítimas, con el objetivo de engañar a los pasajeros y obtener sus datos personales. Este caso sirve para analizar un escenario ante el que hay que estar en alerta, sobre todo para no poner en manos malintencionadas nuestros datos e información sensible”, comenta , Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La averiguación o investigación se inició luego de que una aerolínea trasladara su preocupación por la aparición de una red Wi-Fi sospechosa durante un vuelo nacional. Pero eso no fue todo, ya que estas páginas falsas también se habrían creado en otros aeropuertos, los de Perth, Melbourne y Adelaida.

En referencia a esto, la Policía australiana requisó el equipaje de un sospechoso y encontró un dispositivo inalámbrico portátil, un teléfono móvil y una computadora portátil. Según analizaron, las redes falsas de conexión llevaban a los usuarios a una página en donde se pedía el ingreso de información personal como la dirección de correo electrónico o los datos de acceso a las redes sociales. Los datos obtenidos se almacenaban en los dispositivos del atacante, quien los podría utilizar para tener acceso a otros datos personales, como fotos y hasta coordenadas bancarias.

Desde el equipo de investigación de ESET, comentan e informan que para disfrutar de un vuelo placentero y sin sobresaltos, es necesario implementar buenas prácticas y tener en cuenta algunos consejos puntuales de seguridad:

Por ejemplo, desde el departamento de delitos cibernéticos de la AFP, se ha indicado que para conectarse a una red Wi-Fi gratuita, “no debería ser necesario introducir ningún dato personal, como iniciar sesión a través de un correo electrónico o una cuenta de redes sociales”. Además, agregaron preventivamente que “cualquiera que intente conectarse a redes Wi-Fi gratuitas en aeropuertos o vuelos nacionales, cambie luego sus contraseñas y reporte cualquier actividad sospechosa”.

Por otra parte, ESET aconseja directamente tener cautela respecto de las acciones que se realizan durante esas conexiones. Es decir, solo visitar sitios que no requieran credenciales ni información personal, deshabilitar todos los servicios de homebanking, cuentas de correo electrónico, redes sociales y demás aplicaciones que requieran usuario y contraseña para establecer la conexión. Ahora bien, si la conexión se realiza desde el equipo que se utiliza para trabajar, lo ideal es hacer uso de VPN para así mantener la información cifrada.

También es importante configurar el dispositivo para que pregunte antes de conectarse, evitar que la conexión sea automática a las distintas redes abiertas es vital para impedir posibles riesgos.

Por último, y no menos clave y relevante, tener una solución antimalware instalada en los dispositivos, tanto laptops como móviles, es el primer paso para estar seguro. Disponiendo siempre de la última versión del producto descargada y actualizada, garantizando así que todas sus funcionalidades estén al día y listas para evitar el ingreso de aplicaciones potencialmente no deseadas.

Un equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, detectó una nueva campaña de un sitio de phishing que está activa a la espera de usuarios que busquen la última versión de ChatGPT.

“Ya habíamos detectado desde ESET el uso de falsos sitios de ChatGPT, y extensiones maliciosas para navegadores, e incluso aplicaciones que distribuyen troyanos para el robo de información bancaria. La forma de engaño es siempre la misma: simular ser un sitio real y hacer que los usuarios caigan en la trampa, aprovechando la popularidad creciente del chatbot.”, señaló Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación ESET Latinoamérica.

En este caso, ESET detectó que en una búsqueda general de Google “Chat GPT 4”, o “Chat GPT for Android”, uno de los primeros resultados que pueden aparecer, y dar impresión de ser original, lleva a una url falsa: chatgptui.com que, hasta el momento de enviar esta información, sigue activa.

Si se ingresa al link falso, el usuario encontrará una web bastante bien construida que usa el logo correcto, aunque es muy distinta a la original. También utiliza logos de empresas que usan el servicio real para darle un matiz de veracidad a la página falsa.

Al hacer clic en “get started”, se observa que el sitio solicita datos de registro que no son validados: no es necesario que llegue un mail de confirmación y validación, algo necesario en la mayoría de los servicios legítimos.

En este caso, no es del interés del grupo cibercriminal la dirección de correo electrónico. En el momento que se cree estar realizando la subscripción a la versión paga del ChatGPT con los datos de la tarjeta de crédito y el pago por el servicio falso.

Para evitar caer en la trampa desde ESET comparten los siguientes consejos:

• Tener mucho cuidado al instalar una extensión, una app o al suscribirse a un sitio web.
• Verificar siempre la URL a la que lleva un anuncio, mail, mensaje de Whatsapp. Ante la duda, tipear la dirección para asegurarse no caer en un sitio falso.
• Nunca ingresar los datos de la tarjeta de crédito o información bancaria sin asegurarse que el sitio cuente con las medidas de seguridad correctas. También se debe verificar que no tenga sellos falsos de “sitio confiable”.
• Mantener los equipos y dispositivos actualizados y utilizar software antimalware de confianza.
• Si se sospecha haber instalado software malicioso, desconectarse de Internet y buscar ayuda de algún experto en informática.

De interés: Súmate reporta más de 50.000 electores objetados para las elecciones presidenciales

Fiorella Tagliafico R.

Con información de medios nacionales

Fuente de imagen referencial: Unsplash / John Schnobrich

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer