1. Avisos de Seguridad
  2. Campaña de Phishing con GuLoader Dirigida a Sectores Industriales y Financieros
Fecha de publicación: Jue, 14/11/2024 - 09:16

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Se ha identificado una campaña de phishing avanzada dirigida a empresas industriales y de ingeniería en Europa, utilizando el descargador de malware GuLoader. Este ataque permite a los ciberdelincuentes instalar troyanos de acceso remoto (RAT) en sistemas comprometidos, otorgándoles acceso remoto y la posibilidad de robar información confidencial. La campaña de ataque simula correos legítimos, incitando a las víctimas a descargar archivos adjuntos en formatos comprimidos (.iso, .7z, .gzip, .rar) que, al descomprimirse y ejecutarse, instalan el malware.

Aunque esta campaña se ha enfocado inicialmente en empresas europeas, América Latina no está exenta de este tipo de ataques. GuLoader ha sido utilizado previamente en la región como vector de ataques dirigidos a diferentes sectores. Por ello, es esencial que las organizaciones latinoamericanas se mantengan alertas y tomen precauciones proactivas para prevenir posibles infecciones que comprometan la seguridad de sus sistemas.

Técnicas Observadas:

  • Ingeniería Social: Los correos falsificados continúan conversaciones previas o solicitan información de pedidos, haciendo que las víctimas los perciban como legítimos.
  • Descarga y Ejecución de Scripts de PowerShell: Los archivos adjuntos maliciosos inician scripts de PowerShell ofuscados para inyectar código malicioso en procesos legítimos como msiexec.exe, que permite a los atacantes establecer conexiones sin levantar sospechas.
  • Evasión Antianálisis: GuLoader utiliza técnicas de evasión avanzadas, como código basura y shellcode cifrado, para dificultar el análisis y la detección del malware.

Recursos afectados

  • Empresas del sector industrial y de ingeniería: con riesgo potencial para otros sectores que mantengan relaciones comerciales o sistemas de información conectados.

  • Finanzas y banca: GuLoader ha dirigido sus ataques principalmente contra organizaciones de este sector, con un impacto medio mensual del 2,4% a nivel global, equivalente a una de cada 41 organizaciones.

  • Educación e investigación: Remcos, un troyano distribuido por GuLoader, ha afectado a este sector, con una media del 2,8% de las organizaciones a nivel mundial afectadas mensualmente, equivalente a una de cada 35 organizaciones.

Solución

  • Capacitación del Personal: Realizar campañas internas de concienciación sobre el phishing dirigido y cómo identificar correos electrónicos sospechosos.
  • Refuerzo de Seguridad en PowerShell: Implementar políticas de seguridad en PowerShell que bloqueen la ejecución de scripts no firmados o de origen desconocido.
  • Bloqueo de Archivos Comprimidos de Fuentes No Confiables: Restringir la recepción de archivos comprimidos en los formatos utilizados por los atacantes (.iso, .7z, .gzip, .rar) desde remitentes no verificados.
  • Monitoreo de Procesos del Sistema: Establecer alertas en sistemas de monitoreo para detectar actividades anómalas en procesos como msiexec.exe, especialmente cuando inician conexiones externas o procesos inusuales.
  • Actualización de Sistemas: Mantener los sistemas y el software de seguridad actualizados para proteger contra nuevas vulnerabilidades que puedan ser explotadas.

Recomendaciones

  • Reforzar la verificación de correos sospechosos antes de interactuar con archivos adjuntos.
  • Establecer alertas de comportamiento inusual en aplicaciones clave.
  • Revisar y fortalecer las políticas de acceso a sistemas críticos, limitando la ejecución de scripts y macros a usuarios autorizados.

Referencias