El StrongPity APT ha resurgido, con especial atención a los usuarios de herramientas de cifrado. Particularmente utilizando el Phising como medio para propagar el troyano.
http://www.infosecurity-magazine.com/news/strongpity-apt-emerges-with/
Traducción Google:
Según Kaspersky Lab, fuertes, herramientas de software de criptografía ampliamente disponibles ayudan a proporcionar comunicaciones seguras y privadas que ahora se obtienen fácilmente y utilizables.En el verano de 2016, varias aplicaciones de software de cifrado habilitado fueron atacados con tácticas de ingeniería social y spyware por el StrongPity APT.
El grupo utilizó un mecanismo para entregar los instaladores WinRAR WinRAR troyanizado (paquetes y encripta los archivos con suites fuertes como AES-256 en modo CBC con una clave basada en HMAC-SHA256 PBKDF2 fuerte).
Los malos actores establecieron un nombre de dominio que imita el sitio legítimo de distribución de WinRAR, y luego se colocan enlaces en un sitio legítimo «distribuidor certificado» en Europa para redirigir a los usuarios a sus instaladores envenenados. En Bélgica, los atacantes colocaron un enlace de «recomendado» al sitio malicioso en el medio de la página de distribución de WinRAR localizada. Un gran botón azul vinculado al instalador malicioso, mientras que todos los otros enlaces en la página dirigirse al software legítimo.
StrongPity también dirigió a los visitantes específicos de los sitios de intercambio de software populares, localizados en Francia y Bélgica directamente a los instaladores troyanizado de TrueCrypt. TrueCrypt ofrece una solución de cifrado de disco completo de código abierto efectivo para Windows, Apple, Linux y sistemas Android.
Esta actividad se prolongó hasta finales de septiembre de 2016, lo que resulta en más de 1.000 sistemas infectados con un componente StrongPity. Los cinco países más afectados son Italia, Turquía, Bélgica, Argelia y Francia.
«Esta actividad nos recuerda un poco de la actividad que se agacha principios de 2014 Yeti,» dijo Kurt Baumgartner, director investigador de seguridad en el grupo de grandes Kasperky. «Gran parte de las intrusiones Yeti Agacharse fueron posibles gracias a trojanizing instaladores de software relacionados con TI-ICS legítimos como instaladores del cliente SCADA con el medio VPN e instaladores de controladores de software de la cámara industrial. A continuación, se pondría en peligro los sitios legítimos de distribución de software de empresa y reemplazar los instaladores legítimos con el que se agacha Yeti troyanizado versiones. Las tácticas comprometidas con eficacia ICS e instalaciones relacionadas con SCADA y redes en todo el mundo «.
En pocas palabras, incluso cuando se visita un sitio de distribución compañía legítima, el personal de TI se descarga e instalación de software malicioso ICS-enfocadas. Los esfuerzos de StrongPity hicieron lo mismo.
«El grupo ha desplegado en silencio de día cero en el pasado, los objetivos de eficacia spearphished y mantiene un conjunto de herramientas modulares», dijo Baumgartner.»Mientras que los agujeros de riego e instaladores envenenados son tácticas que se han utilizado con eficacia por otra APT, nunca hemos visto el mismo enfoque en el software criptográfico permitido.»
Y añadió: «Se describe el StrongPity APT ya que no sólo determinados y con buenos recursos, pero bastante imprudente e innovador también.»
Durante la visita a los sitios y la descarga de software de cifrado habilitado, el personal de TI debe verificar la validez de los lugares de distribución y la integridad del archivo descargado en sí. sitios de descarga que no usan PGP o fuertes certificados digitales de firma de código es necesario volver a examinar la necesidad de hacerlo por sus propios clientes, así, Kaspersky recomienda.
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024