Investigadores de Cofense descubrieron una campaña de phishing, que se distribuye a través de un nuevo RAT (Remote Administration Tool) denominado WSH. Está dirigido a clientes de la banca y es capaz de registrar las pulsaciones del teclado para robar información confidencial a sus víctimas.
Los investigadores creen que posiblemente WSH está vinculado al programa Windows Script Host legítimo, utilizado para ejecutar scripts en equipos con sistemas operativos Windows. Afirmaron también que los ciberdelincuentes lo están distribuyendo activamente desde el 2 de junio de 2019, a través de correos electrónicos que incentivan al usuario a hacer clic en URL maliciosas o archivos MHT y ZIP. Con ello, pueden robar las credenciales de correo electrónico y de navegadores web de sus víctimas; controlar los computadores de forma remota; cargar, descargar y ejecutar archivos; ejecutar scripts y comandos remotos; eliminar antimalwares y deshabilitar el UAC de Windows.
WSH es básicamente idéntico a Houdini (H-Worm), malware creado en 2013 -también basado en VBS (Visual Basic Script)-, que logra comunicarse con su servidor de command & control (C2).
Se recomienda lo siguiente:
Para administradores:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas.
- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
- Mantener actualizado Microsoft Office y el software de seguridad del equipo.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
- Configurar de manera más estricta el anti spam.
Para usuarios:
- Dudar de cualquier correo que contenga un documento adjunto o un enlace en el cuerpo o archivo adjunto del e-mail.
- No abrir documentos adjuntos de remitentes desconocidos.
- Nunca seguir la instrucción de deshabilitar las macros y otras funciones de seguridad, si un correo electrónico o documento lo solicita.
- Aplicar reglas exigentes para la creación de contraseñas.
- Aprender a identificar correos fraudulentos.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8.1 8 10 |