Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Si tienes claro que buscas un AMD, pero no sabes cual… esta es tu comparativa. Cuando compramos CPU, debemos tener en cuenta la plataforma...
Ciberdelincuentes utilizan capturas de pantalla para espiar a sus víctimas
Un grupo delictivo se mueve en la red acometiendo estafas financieras a usuarios y empresas. TA866 se diferencia de otros grupos de atacantes en que realiza capturas de pantalla en los dispositivos de sus víctimas antes de instalarles un bot o stealer malicioso.
Estas conclusiones se han podido extraer a raíz del último estudio presentado por los investigadores de Proofpoint, quienes entre octubre de 2022 y enero de 2023 han analizado cómo se comportan los integrantes de TA866. Una vez que han entrado en los dispositivos, los hackers se dedican a grabar y a hacer ‘pantallazos’ de la actividad de sus potenciales víctimas, y si les interesa la información obtenida, es cuando proceden a infectarlos. Son ataques muy meditados y a escala que les permite obtener servicios de otros proveedores
En octubre, TA866 envió un número exacto de correos electrónicos, siendo los meses de noviembre y diciembre en los que se registró un aumento en el envío de mensajes y en las estafas acometidas. Los envíos, normalmente de archivos de Publisher, se realizaban una o dos veces por semana al principio para luego llegar a realizarse una media de cuatro envíos semanales. Ya a principios de 2023 se percibió un descenso considerable en la frecuencia de las campañas, aunque la cantidad de emails enviados siguió aumentando, siendo los días 23 y 24 de enero los de mayor actividad.
Entre las actividades más recientes llevadas a cabo por TA866 destaca las realizadas en marzo de 2022, cuando se dirigieron a diferentes miembros de gobiernos europeos involucrados en los movimientos de refugiados después de la guerra de Ucrania. Por las líneas de código que han detectado los investigadores, así como por las bases de sus ataques, todo apunta a que se trata de un grupo de actuación de origen ruso.
Las investigaciones de Proofpoint señalan que se han encontrado comentarios escritos en ruso dentro del código del AHK Bot, por lo que el desarrollador de la herramienta es nativo, o de lo contrario, se han copiado de otras fuentes sin eliminar esas frases. No obstante, AHK Bot podría ser de uso exclusivo de un ecosistema cerrado de ciberdelincuencia para sus amenazas.
Metodología
TA866 siempre sigue una misma dinámica en sus actuaciones. Comienzan enviando un correo electrónico con un archivo adjunto (normalmente PDF o de Publisher) o URL que lleva a los malwares WasabiSeed y Screenshotter a entrar, sin impedimento alguno, en el dispositivo de la víctima. Se pueden emplear también programas maliciosos como Rhadamanthys Stealer y AHK Bot.
Mediante la técnica de thread hijacking o secuestro de hilos de conversación, enviados mediante señuelos, los usuarios son incitados a abrir una presentación adjunta. No obstante, TA866 no solo se introduce en los dispositivos a través de la carpeta de spam de correo electrónico, sino también mediante anuncios falsos, a modo de gancho, instalados en diferentes páginas web a partir de Google Ads.
Los ciberdelincuentes de TA866 examinan manualmente las capturas de pantalla de sus víctimas durante su horario de trabajo con el malware Screenshotter. A partir de ahí, realizan un perfil de cada usuario y determinan si les resulta útil o no continuar con la infección.
Para que un ataque de TA866 triunfe, será necesario que el usuario hiciese clic en un enlace o interactuase con un archivo malicioso que descarga y ejecuta. Por todo ello, el mejor remedio que existe para frenar su poder de actuación es la educación en ciberseguridad, es decir, que informen sobre estos correos electrónicos y otras actividades sospechosas a la compañía.
Su ámbito de influencia
Los ataques de TA866 se dirigen especialmente a medianas y grandes empresas, y aunque bien es cierto que se han centrado en organizaciones de distintos sectores económicos de Estados Unidos, están expandiendo su poder de actuación hasta Europa, especialmente a Alemania (entre el 8 de diciembre de 2022 y el 24 de enero de 2023). No obstante, no siempre tienen pretensiones de carácter financiero, pues en 2019 se concluyó que sus objetivos estaban relacionados con el ciberespionaje.
Víctimas y procedencia de TA866
Las campañas detectadas hasta el momento han estado dirigidas principalmente a un reducido grupo de organizaciones en Estados Unidos y en Alemania.
En cuanto al origen, los investigadores de Proofpoint han hallado comentarios en ruso dentro del código del AHK Bot desplegado en estas campañas. Esto podría indicar que el desarrollador de esta herramienta es nativo o que el código se ha copiado de otras fuentes sin eliminar estas frases.
“Aunque nuestras investigaciones recientes sugieren que las campañas de TA866 tienen una motivación financiera, hemos podido identificar varios grupos en activo desde 2019, que se solapan con la actividad de TA866, cuyos objetivos podrían ser también de ciberespionaje”, advierten desde Proofpoint.
"Es importante tener en cuenta que para que un ataque sea exitoso, el usuario tiene que hacer clic en un enlace o interactuar con un archivo malicioso para descargar y ejecutar las cargas útiles adicionales. Por eso, desde las organizaciones se debe educar a los usuarios acerca de estas amenazas y animarles a informar sobre correos electrónicos y otras actividades sospechosas que puedan suponer un riesgo”, recomiendan los investigadores.
Fuentes:
https://www.muyseguridad.net/2023/04/21/ta866-ciberdelincuentes-capturas-pantalla-victimas/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.