Se detecta nueva versión del Malware Predator the thief

10 Enero 2020
Alto

Investigadores de Fortiguard han descubierto una nueva versión del malware predator the thief identificada como la 3.3.4. Esta actualización, más sigilosa y más complicada que sus predecesoras, fue lanzada en la dark web a finales de diciembre de 2019 a través de facturas falsas destinadas a robar información confidencial del usuario.

La campaña que se propaga a través de phishing utiliza múltiples documentos de ofimática con macros que al ser habilitadas ejecuta un script de malware VBA, posteriormente descarga 3 archivos a través de PowerShell y así logra infectar el equipo del usuario robando información personal y contraseñas.

Esta versión utiliza más funciones anti-análisis y las configuraciones son más detalladas y complejas. También puede recopilar información sin archivos y eliminarse inmediatamente después de enviar información a C2. Esto dificulta el análisis de su daño al sistema de la víctima.

Según lo previsto para el año 2020, nuevamente evidenciamos una evolución significativa en las técnicas utilizadas por los ciberdelincuentes destinadas al robo de información.  

Se recomienda lo siguiente:

  • Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores.
  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Validar que el remitente sea de su confianza.

Tags: #predatorthethief #malware #phishing #fortiguard #darkweb #amenaza #malspam #vba #autoopen #powershell #macros


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.