Home Infraestructuras críticas Ataques de phishing a empresas estadounidenses de servicios públicos, con troyanos de...

Ataques de phishing a empresas estadounidenses de servicios públicos, con troyanos de acceso remoto

Una campaña de phishing submarino, observada a finales de julio, se dirigió a tres entidades estadounidenses del sector de servicios públicos, con un nuevo malware que incluye un módulo de troyano de acceso remoto (RAT), diseñado para dar a los atacantes el control administrativo sobre los sistemas infectados.

Los investigadores del equipo de Proofpoint Threat Insight Team han apodado LookBack al malware anteriormente no documentado y han descubierto y analizado los ataques de phishing y las cargas útiles maliciosas caídas.

Los correos electrónicos de phishing parecían suplantar a una junta de licencias de ingeniería con base en Estados Unidos con correos electrónicos que se originan de lo que parece ser un dominio controlado por actores nceess[…]com.

De acuerdo a lo informado, se cree que Nceess[…]com es una suplantación de un dominio propiedad del Consejo Nacional de Examinadores de Ingeniería y Topografía de los Estados Unidos.

Además, los investigadores hallaron otros dominios que se hacían pasar por otros organismos de ingeniería y de concesión de licencias eléctricas de los Estados Unidos.

Viendo que solo uno de ellos fue usado como parte de estos ataques de pesca submarina, la probabilidad de que otras campañas se dirijan a entidades de servicios públicos de EE.UU. que usen el mismo enfoque o uno similar, es muy alta.

Proofpoint descubrió que el troyano de acceso remoto LookBack, puede ayuda a los atacantes a:

– Enumerar servicios.
– Ver los datos de proceso, sistema y archivo.
– Borrar archivos.
– Ejecutar comandos.
– Hacer capturas de pantalla.
– Mover y hacer clic con el ratón.
– Reiniciar el equipo y borrarse de un host infectado.

Con información de: Bleping Computer.