Una nueva campaña de malware troyano, nombrada “BlackParty”, fue descubierta por el equipo de inteligencia de amenazas de Scitum, que compartió las informaciones con el FortiGuard Labs de Fortinet para una actuación conjunta contra la amenaza.
Esta amenaza tiene como objetivo principal agregar dispositivos infectados a una botnet y luego llevar a cabo actividades maliciosas como el robo de información y el control total del dispositivo infectado.
BlackParty fue descubierto en mayo al detectar correos de phishing que llevaban a un sitio web falso que buscaba suplantar la identidad del Servicio de Administración Tributaria de México, cuya interfaz era idéntica al sitio legítimo. El sitio mostraba luego una ventana emergente en la que le pedía a la víctima que ingresara un captcha y luego descargara un manual de usuario sobre cómo usar el sitio web. La carpeta llamada “Sat.zip” contenía el malware encargado de descargar, descomprimir y ejecutar el archivo para establecer conexión con el centro de comando y control del atacante.
El malware está actuando en distintos países de América Latina, llegando a las víctimas por correos o mensajes de phishing que llevan a páginas falsas locales. Los datos recopilados de los dispositivos infectados incluyen:
• Identificador único de la víctima
• Sistema operativo
• Antivirus instalado en el dispositivo
• Arquitectura del sistema operativo
• Validación de permisos de usuario
Con la información compartida, el equipo de FortiGuard Labs se aseguró de poder contar con los medios para las detecciones de esta amenaza por los diferentes vectores de ataque, agregando los Indicadores de Compromiso (IoC) a las soluciones de Fortinet, respetando el nombre otorgado por Scitum. La información sobre el nuevo malware fue agregada a la enciclopedia de amenazas pública de FortiGuard Labs.
En adición, esto permitió a Fortinet utilizar los sensores desplegados a nivel global para poder monitorear el alcance de la campaña. En América Latina, por ejemplo, BlackParty ha sido detectada más de 500 veces desde que fue descubierta. Todas las URL relevantes han sido calificadas como “sitios web maliciosos” por el servicio de filtrado web de Fortinet, alimentado por la inteligencia de amenazas de FortiGuard Labs.
¿Qué hacer para protegerse?
La protección más efectiva es siempre la concienciación del usuario final. Hacer que todos los empleados sepan cómo identificar correos electrónicos y mensajes sospechosos, además de entender cómo funciona una campaña de phishing. El curso gratuito de Fortinet NSE 1 – Conciencia de seguridad de la información incluye un módulo sobre amenazas de Internet, diseñado para ayudar a los usuarios finales a aprender cómo identificar y protegerse contra los ataques de phishing.
Además, las soluciones de ciberseguridad avanzadas ayudan a las organizaciones a mantenerse protegidas. Por ejemplo:
- Servicio de filtrado web que clasifique los “sitios maliciosos”
- Antivirus para bloqueo de archivos de malware
- Sistemas actualizados con la última base de datos de amenazas
- Cuarentena y eliminación de los archivos infectados
- Reemplazo de archivos infectados con copias de seguridad limpias
