{"id":16640,"date":"2018-08-02T10:54:38","date_gmt":"2018-08-02T08:54:38","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=16640"},"modified":"2018-09-18T14:29:11","modified_gmt":"2018-09-18T12:29:11","slug":"industrial-financial-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/industrial-financial-phishing\/16640\/","title":{"rendered":"El fraude financiero a escala industrial"},"content":{"rendered":"

Nuestros investigadores han descubierto otra campa\u00f1a phishing<\/i><\/a> que se dedica a robar dinero de cuentas corporativas. Esta vez, los ciberdelincuentes tienen como objetivo principal las empresas de fabricaci\u00f3n. Normalmente los ataques dirigidos a estas empresas est\u00e1n conectados con el ciberespionaje y el sabotaje. Pero este no es el caso, parece que unos ciberdelincuentes han recordado que estas compa\u00f1\u00edas generan mucho dinero.<\/p>\n

\"\"<\/p>\n

Al m\u00e1s puro estilo phishing<\/i><\/h2>\n

Estos ataques no se desarrollan con herramientas sofisticadas, sino con t\u00e9cnicas phishing<\/i> est\u00e1ndar. Para ello, distribuyen un software<\/i> nocivo a trav\u00e9s de correos electr\u00f3nicos disfrazados como ofertas comerciales y otros documentos financieros.<\/p>\n

La caracter\u00edstica m\u00e1s distintiva de estos ataques es el alto nivel de preparaci\u00f3n, los estafadores se dirigen a los empleados por su nombre y apellidos, conocen su puesto y el departamento<\/strong> en el que se est\u00e1n centrando y toda la informaci\u00f3n en la fuente de la oferta parece leg\u00edtima.<\/p>\n

En algunos casos, los estafadores env\u00edan adjuntos maliciosos y, en otros, env\u00edan enlaces a otros sitios, pero todos los correos electr\u00f3nicos incitan a la v\u00edctima a descargar herramientas utilizadas por los cibercrminales<\/i> para su propia iniciativa. Por ejemplo, en uno de los correos el empleado recib\u00eda la informaci\u00f3n de que su compa\u00f1\u00eda hab\u00eda sido seleccionada para participar en un proceso de licitaci\u00f3n<\/strong>. Para acceder, ten\u00eda que instalar una aplicaci\u00f3n leg\u00edtima conocida como Seldon 1.7. El adjunto del correo electr\u00f3nico conten\u00eda un archivo ejecutable para el software<\/i>, pero el malware<\/i> acababa por instalarse tambi\u00e9n en el dispositivo.<\/p>\n

Otro de los correos conten\u00eda una orden de pago de la venta de un coche en un archivo PDF malicioso. El mensaje era muy detallado, mencionaba empresas reales con identificaciones fiscales aut\u00e9nticas, adem\u00e1s de n\u00fameros de bastidor que se correspond\u00edan con el modelo espec\u00edfico.<\/p>\n

Software<\/i> leg\u00edtimo<\/h3>\n

Para lo ataques, los delincuentes utilizaban aplicaciones leg\u00edtimas de administraci\u00f3n remota, como TeamViewer o Remote Manipulator System (RMS). Estos programas se utilizaban para conseguir el acceso al dispositivo y analizar la informaci\u00f3n de las compras actuales, adem\u00e1s del software<\/i> de contabilidad y finanzas. Entonces, los delincuentes utilizaban diferentes estrategias para robar dinero de la compa\u00f1\u00eda, por ejemplo, remplazando la informaci\u00f3n bancaria.<\/p>\n

Con el objetivo de mantener el acceso al sistema el m\u00e1ximo tiempo posible, los cibercriminales<\/i> utilizan varios m\u00e9todos para ocultar informaci\u00f3n sospechosa de los propietarios del dispositivo y de las soluciones de seguridad.<\/p>\n

Arsenal adicional<\/h3>\n

Cuando es necesario, se suben herramientas adicionales a los dispositivos comprometidos, por ejemplo, para conseguir permisos de alto nivel y recopilar informaci\u00f3n adicional. Estas aplicaciones pueden robar datos (desde informaci\u00f3n de acceso hasta cualquier archivo almacenado en el dispositivo), hacer capturas de pantalla, grabar v\u00eddeos desde la pantalla, escuchar lo que pasa en la oficina con el micr\u00f3fono del dispositivo, recopilar datos de acceso de otros dispositivos de la red local y dem\u00e1s.<\/p>\n

De este modo, los delincuentes no solo son capaces de robar informaci\u00f3n de la compa\u00f1\u00eda, sino que tambi\u00e9n pueden obtener informaci\u00f3n confidencial sobre la empresa, sus clientes y socios, espiar al personal, grabar audios o v\u00eddeos de la actividad del ordenador infectado o utilizar un sistema comprometido para otros ataques, como los DDoS.<\/p>\n

\u00bfQui\u00e9n est\u00e1 en riesgo?<\/h3>\n

En este momento, est\u00e1n siendo atacados 800 ordenadores que pertenecen al menos a 400 organizaciones de una amplia variedad de industrias: fabricaci\u00f3n, petr\u00f3leo y gas, metalurgia, ingenier\u00eda, energ\u00eda, construcci\u00f3n, miner\u00eda y log\u00edstica. Esta campa\u00f1a phishing<\/i> est\u00e1 en marcha desde octubre del 2017.<\/p>\n

\u00bfC\u00f3mo puedes evitar convertirte en v\u00edctima?<\/h3>\n

Esta campa\u00f1a vuelve a demostrar que incluso las herramientas leg\u00edtimas pueden ser peligrosas. Las soluciones de protecci\u00f3n no reaccionan igual ante estos hechos. Incluso los empleados m\u00e1s experimentados pueden ser v\u00edctimas de la combinaci\u00f3n de un ataque phishing<\/i> con este tipo de software<\/i> tan cuidado. Para proteger tu organizaci\u00f3n, te recomendamos que sigas los siguientes consejos:<\/p>\n