El fraude financiero a escala industrial

2 Ago 2018

Nuestros investigadores han descubierto otra campaña phishing que se dedica a robar dinero de cuentas corporativas. Esta vez, los ciberdelincuentes tienen como objetivo principal las empresas de fabricación. Normalmente los ataques dirigidos a estas empresas están conectados con el ciberespionaje y el sabotaje. Pero este no es el caso, parece que unos ciberdelincuentes han recordado que estas compañías generan mucho dinero.

Al más puro estilo phishing

Estos ataques no se desarrollan con herramientas sofisticadas, sino con técnicas phishing estándar. Para ello, distribuyen un software nocivo a través de correos electrónicos disfrazados como ofertas comerciales y otros documentos financieros.

La característica más distintiva de estos ataques es el alto nivel de preparación, los estafadores se dirigen a los empleados por su nombre y apellidos, conocen su puesto y el departamento en el que se están centrando y toda la información en la fuente de la oferta parece legítima.

En algunos casos, los estafadores envían adjuntos maliciosos y, en otros, envían enlaces a otros sitios, pero todos los correos electrónicos incitan a la víctima a descargar herramientas utilizadas por los cibercrminales para su propia iniciativa. Por ejemplo, en uno de los correos el empleado recibía la información de que su compañía había sido seleccionada para participar en un proceso de licitación. Para acceder, tenía que instalar una aplicación legítima conocida como Seldon 1.7. El adjunto del correo electrónico contenía un archivo ejecutable para el software, pero el malware acababa por instalarse también en el dispositivo.

Otro de los correos contenía una orden de pago de la venta de un coche en un archivo PDF malicioso. El mensaje era muy detallado, mencionaba empresas reales con identificaciones fiscales auténticas, además de números de bastidor que se correspondían con el modelo específico.

Software legítimo

Para lo ataques, los delincuentes utilizaban aplicaciones legítimas de administración remota, como TeamViewer o Remote Manipulator System (RMS). Estos programas se utilizaban para conseguir el acceso al dispositivo y analizar la información de las compras actuales, además del software de contabilidad y finanzas. Entonces, los delincuentes utilizaban diferentes estrategias para robar dinero de la compañía, por ejemplo, remplazando la información bancaria.

Con el objetivo de mantener el acceso al sistema el máximo tiempo posible, los cibercriminales utilizan varios métodos para ocultar información sospechosa de los propietarios del dispositivo y de las soluciones de seguridad.

Arsenal adicional

Cuando es necesario, se suben herramientas adicionales a los dispositivos comprometidos, por ejemplo, para conseguir permisos de alto nivel y recopilar información adicional. Estas aplicaciones pueden robar datos (desde información de acceso hasta cualquier archivo almacenado en el dispositivo), hacer capturas de pantalla, grabar vídeos desde la pantalla, escuchar lo que pasa en la oficina con el micrófono del dispositivo, recopilar datos de acceso de otros dispositivos de la red local y demás.

De este modo, los delincuentes no solo son capaces de robar información de la compañía, sino que también pueden obtener información confidencial sobre la empresa, sus clientes y socios, espiar al personal, grabar audios o vídeos de la actividad del ordenador infectado o utilizar un sistema comprometido para otros ataques, como los DDoS.

¿Quién está en riesgo?

En este momento, están siendo atacados 800 ordenadores que pertenecen al menos a 400 organizaciones de una amplia variedad de industrias: fabricación, petróleo y gas, metalurgia, ingeniería, energía, construcción, minería y logística. Esta campaña phishing está en marcha desde octubre del 2017.

¿Cómo puedes evitar convertirte en víctima?

Esta campaña vuelve a demostrar que incluso las herramientas legítimas pueden ser peligrosas. Las soluciones de protección no reaccionan igual ante estos hechos. Incluso los empleados más experimentados pueden ser víctimas de la combinación de un ataque phishing con este tipo de software tan cuidado. Para proteger tu organización, te recomendamos que sigas los siguientes consejos:

  • Tu personal debería estar al tanto de la seguridad de la información. Kaspersky Lab ofrece cursos de educación y formación que no solo imparten conocimiento, sino también ayudan a establecer nuevos patrones de comportamiento.
  • Utiliza tecnologías de protección moderna que evalúen el comportamiento no solo de los programas sospechosos, sino también de los legítimos, como hace Kaspersky Endpoint Security for Business.