BlackParty, un nuevo código malicioso que roba la identidad del SAT

Recientemente, fue descubierta una campaña de código malicioso troyano, ha sido bautizada como BlackParty.
Hacker -
Una pantalla web con serie de números y candados en color azul y rojo.
Recientemente, fue descubierta una campaña de código malicioso troyano, ha sido bautizada como BlackParty. Foto: iStock

Recientemente, fue descubierta una campaña de código malicioso troyano, bautizada como BlackParty, que tiene como objetivo agregar los dispositivos infectados a una botnet y, luego, llevar a cabo actividades maliciosas como el robo de información y el control total del equipo comprometido. 

El equipo de inteligencia de amenazas de Scitum fue quien detectó y nombró esta amenaza, compartiendo sus datos con el FortiGuard Labs de Fortinet para actuar conjuntamente contra ésta. 

Los primeros indicios de BlackParty se remontan a mayo pasado, cuando los especialistas encontraron correos de phishing que llevaban a un sitio web falso, el cual intentaba suplantar la identidad del Servicio de Administración Tributaria de México (SAT)

La interfaz de ese sitio apócrifo era idéntica al sitio legítimo y una vez adentro, mostraba una ventana emergente en la que se pedía a la víctima ingresar un captcha para descargar un manual de usuario sobre cómo usar el sitio web. 

La carpeta llamada “Sat. zip” contenía el código malicioso encargado de descargar, descomprimir y ejecutar el archivo para establecer conexión con el centro de comando y control de BlackParty. 

Los especialistas de FortiGuard Labs advirtieron que esta campaña no sólo está afectando a México, también actúa en distintos países de América Latina donde llega a las víctimas por correos o mensajes de phishing que llevan a páginas falsas locales.

¿Qué hacer para protegerse? 

  • Se recomienda entender cómo funciona una campaña de phishing. 
     
  • Usar un servicio de filtrado web que clasifique los sitios maliciosos. 
     
  • Tener un antivirus para bloqueo de archivos de malware. 
     
  • Usar sistemas actualizados con la última base de datos de amenazas. 
     
  • Hacer cuarentena y eliminación de los archivos infectados. 
     

Alertas 

De acuerdo con la investigación, los cibercriminales recopilan varios datos de los dispositivos infectados como identificador único de la víctima, sistema operativo, antivirus instalado en el dispositivo, arquitectura del sistema operativo y validación de permisos de usuario. De esta manera no sólo tienen acceso al equipo para sumarlo a una botnet, la cual es una red que usualmente los piratas informáticos usan para ataques de denegación de servicio, también tienen control total de dispositivo y acceso a información confidencial. Gracias a la información compartida por Scitum, FortiGuard Labs se aseguró de poder contar con los medios para detectar esta amenaza a través de los diferentes vectores de ataque. 

Además, permitió a Fortinet utilizar los sensores desplegados a escala global para poder monitorear el alcance de la campaña encontrando que, en América Latina, BlackParty ha sido detectada más de 500 veces desde que fue descubierta. 

Por ello, los sitios apócrifos que utilizan los cibercriminales han sido calificados como maliciosos.

Por: Aura Hernández 

*amm 

Tips para tus finanzas personales directo en tu correo.
Al registrarme acepto los términos y condiciones

  TAGS

Taboola
Icono de te puede interesar de en dineroenimagen

TAMBIÉN TE PUEDE INTERESAR