Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Nueva amenaza para el sector energético aprovecha vulnerabilidad de hace tres años

Trojan.Laziok permite a los atacantes recopilar información y adaptar sus métodos de ataque a cada computadora comprometida.

Symantec detectó una campaña de ataques dirigidos en múltiples etapas que buscaba vulnerar a diversas compañías del sector energético alrededor del mundo, con énfasis especial en Medio Oriente y un foco en objetivos relacionados con las industrias del petróleo, gas y helio, lo que sugiere que quien está detrás de esta campaña puede tener un interés estratégico relacionado con afectar a este tipo de compañías.

La mayoría de los blancos, donde se identificaron más intentos de ataque de acuerdo con Symantec, fueron los Emiratos Árabes Unidos, Arabia Saudita, Pakistán, Kuwait, India, Reino Unido, Colombia y Estados Unidos, aunque no se descarta que podría haber interés en compañías ubicadas en otros países.

Laziok también afectó a países como Camerún, Indonesia, Omán, Qatar y Uganda.
El proveedor de soluciones de seguridad detectó que la campaña circuló durante enero y febrero de este año y utilizó un nuevo código malicioso para robar información, denominado Trojan.Laziok, el cual actúa como una herramienta que permite recopilar datos de las computadoras comprometidas.

De acuerdo con Symantec, el grupo que se encuentra detrás de estos ataques aprovechó una vulnerabilidad pasada y utilizaron los ataques para distribuir amenazas conocidas que se venden en el mercado clandestino. El blog español de noticias de seguridad informática, Hispasec, explica que el vector de infección inicial residía en el uso de mensajes de spam desde el dominio moneytrans[.]eu, que actúa como un servidor SMTP con relay abierto. Los correos incluían un archivo adjunto malicioso con un exploit para la vulnerabilidad CVE-2012-0158 en Office.

Esta misma vulnerabilidad se empleó en ataques conocidos como el Octubre Rojo y fue corregida por Microsoft hace tres años. Sin embargo, como muchas personas y empresas no aplican los parches para las vulnerabilidades que se van detectando, están expuestas a sufrir ataques como el de Trojan.Laziok. “En este escenario, los atacantes no requieren las herramientas más recientes o sofisticadas para ser exitosos, sino solamente un poco de ayuda del usuario y una falla en las operaciones de seguridad debido a la falta de aplicación de parches”, comentan en el blog de Hispasec.

El problema, coincide Symantec, reside en una mala aplicación de los parches y actualizaciones. Por ello, los atacantes no han necesitado encontrar nuevas vulnerabilidades, ni desarrollar nuevos exploits, para realizar sus acciones.

Metodología de ataque

Si el usuario abría el archivo adjunto, habitualmente en formato Excel, se ejecutaba el código del exploit y Trojan.Laziok iniciaba su proceso de infección.
El troyano se escondía en la carpeta %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle, bajo nombres de archivos populares.
El proceso de reconocimiento comienza recogiendo información del sistema infectado (como nombre del equipo de cómputo, software instalado, RAM, disco duro, CPU o antivirus). Esta información se enviaba a los atacantes que en caso de encontrar un objetivo interesante para sus propósitos infectaban el sistema con malware adicional, empleando copias adaptadas de Cyberat o Zbot.

La información que se roba permite a los atacantes tomar decisiones importantes sobre el ataque o simplemente detenerlo.

Recomendaciones y mejores prácticas

Symantec sugiere a los usuarios y empresas considerar las siguientes acciones para evitar infecciones por malware a través de campañas de spam o correos electrónicos como la de Trojan.Laziok:

  • Evitar hacer clic en ligas o abrir documentos adjuntos de correos electrónicos no solicitados, inesperados o sospechosos
  • Utilizar software de seguridad integral, como Symantec Endpoint Protection o Norton Security, para protegerse contra ataques de este tipo
  • Tomar en cuenta y utilizar seguridad multicapa para una mejor protección
  • Mantener el software de seguridad actualizado
  • Aplicar los parches para el software instalado en tiempo y forma

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close