Archivos de etiquetas: Chile

Banco Consorcio afectado por un evento de ciberseguridad

Fuentes: https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/11/08/banco-consorcio-es-victima-de-hackeo-informatico.shtml
https://nakedsecurity.sophos.com/tag/emotet/
Nuevamente la ciberseguridad bancaria en Chile se ve afectada. En esta oportunidad los ciberdelincuentes pudieron exfiltrar información confidencial y sensible de Banco Consorcio.
Según el mismo Banco, el daño está valorizado en un monto inferior a los US$2 millones y ya está en proceso de ser recuperado, puesto que además existen seguros comprometidos.
El modo de penetración utilizado (según Biobiochile) fue mediante un correo malicioso que incluía el malware Emotet. Este correo simulaba ser un aviso de actualización de Word, por lo que bastaría con que un sólo colaborador cayera en esta estafa para que este malware se distribuyera por la entidad.
El Banco indicó que no habría perjuicio para sus clientes debido a este incidente y se encuentra permanentemente monitoreando la situación con la ayuda de expertos internacionales en el tema.

Si fuera el caso de este malware, la información es que Emotet es un troyano aunque también contiene la funcionalidad necesaria para ser clasificado como un gusano. La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario. Emotet descarga entonces ejecuta otras cargas útiles, así que aunque su componente central no sea directamente un gusano, tiene el potencial de descargar y ejecutar otro componente para extenderse a otros sistemas.
Cómo funciona
La infección inicial se distribuye a través de spam de correo electrónico. Los investigadores de Sophos en Agosto de este año, recopilaron la siguiente secuencia de eventos:
Un correo electrónico no deseado que contiene un enlace de descarga llega a la bandeja de entrada de la víctima. El enlace de descarga señala un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica y inicia un script Powershell. El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL.
Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble con un gran diccionario de contraseñas débiles y comúnmente usadas.
También descarga un componente de auto-actualización capaz de descargar la última copia de sí mismo y otros módulos. Este componente se guarda como% windows% <filename> .exe, donde el nombre de archivo está compuesto de 8 dígitos hexadecimales.
Algunos de los otros módulos de este componente descargas se utilizan para recolectar credenciales de otras aplicaciones conocidas o para recolectar direcciones de correo electrónico de Outlook archivos PST para su uso con spam dirigido.
Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. A continuación, instala y ejecuta el exe actualizado como un servicio de Windows.
Sin embargo, Sophos está protegiendo a los clientes de la amenaza y ha creado un artículo de Knowledge Base con un desglose completo de las variantes detectadas.
Esta noticia se encuentra en desarrollo, por lo que estamos constantemente verificando los detalles de esta con las fuentes de información

ALERTA PHISHING: Chilexpress

Una vez mas somos testigos de como los ciberdelincuentes nos atacan, intentando apropiarse de nuestras claves de acceso o instalar algun malware que sirva para extorsionarnos de alguna forma como es el ransomware.
En esta oportunidad nos encontramos con un correo que aparenta venir de la empresa de courier Chilexpress, en el cual aparece un número de seguimiento y un link que nos invita a revisar el estado de la encomienda que supuestamente recibiremos.

Los links que figuran en el correo de phishing en realidad llevan a otra dirección la cual al ingresar nos muestra un mensaje de “sin permiso”:

El ataque contiene mecanismos de detección de análisis, aunque se detectó que descarga archivos con extensión .cab y que instala “parches” en procesos en ejecución.
El resultado de Hybrid-Analysis se puede encontrar en http://tinyurl.com/yb8cez8c
Recomendaciones
La principal herramienta ante un ataque por phishing es la observación, el ataque de phishing intenta engañar a la víctima para que ingrese a links enmascarados o entregue información sensible a los atacantes, esto lo intenta hacer al enviarnos correos o mostrando mensajes en páginas intervenidas con el siguiente tipo de mensajes:
“Ingrese para ver el detalle de su transferencia/encomienda/multa””Confirme sus datos de acceso””Ha ganado! ingrese para reclamar su premio”
y muchos mas.
Por tanto, atención al recibir correos inesperados con mensajes que nos invitan a ingresar a sitios o entregar datos de forma “urgente”.