HACKERS SECUESTRAN CONVERSACIONES DE EMAILS PARA INSERTAR ARCHIVOS MALICIOSOS

Un grupo de hackers esta utilizando una sofisticada tecnica de secuestro de conversaciones de correo electronico en curso para insertar documentos maliciosos que parecen venir de una fuente legitima

Este tipo de ataque depende de que los piratas informaticos comprometan a una de las dos o mas personas involucradas en un intercambio de correo electronico.

Los atacantes toman silenciosamente la cuenta de correo electronico de la victima inicial, estudian las conversaciones en curso y envian un nuevo mensaje en un hilo en curso, con documentos robados.

Esta tactica, aunque no es nueva, se ha visto recientemente en la naturaleza a principios del 2017 en mayo.

El grupo de hacker se cree que opera fuera de Corea del Norte

Estos sofisticados ataques de phishing fueron detectados por la firma estadounidense de seguridad Palo Alto Networks y se han dirigido a un banco con sede en Oriente Medio, una marca registrada y empresas de servicios de propiedad intelectual con sede en Europa, una organizacion deportiva internacional e incluso individuos solitarios con indirectos relaciones con un pais de Asia nororiental.

Esta campana en particular, apodada FreeMilk por Palo Alto, parece ser llevada a cabo por un grupo que ha estado activo en el pasado.

Aunque Palo Alto no ha nombrado nombres, informes previos indican que los hackers pueden operar fuera de Corea del Norte, o han seleccionado objetivos que son de interes constante para las autoridades norcoreanas.

Los hackers de Corea del Norte han apuntado historicamente a empresas tanto por espionaje como por ganancias financieras. Sobre la base de la orientacion de esta empresa reciente, es dificil comprender los motivos exactos del grupo, pero parecen ser ambos.

En el pasado, el mismo grupo detras de los ataques de FreeMilk tambien se dirigio a los desertores de Corea del Norte que se esconden en el Reino Unido, y las empresas surcoreanas, en diferentes ocasiones.

Nueva tecnica de phishing PoohMilk malware Freenki

Para esta campana mas reciente, el grupo secuestro las conversaciones mediante la implementacion de un documento malicioso de Word en los subprocesos de conversacion en curso.

El documento explota la vulnerabilidad CVE-2017-0199 para descargar y ejecutar un malware de primera etapa conocido como PoohMilk, una herramienta basica con dos tareas: obtener persistencia de arranque a traves de una clave de registro y descargar una segunda etapa de malware denominada Freenki.

Los atacantes tambien usaron Freenki para dos tareas: operaciones basicas de reconocimiento para identificar hosts con informacion valiosa y descargar una carga util de tercera etapa.

En un informe tecnico que detalla el modus operandi y las caracteristicas de estas dos cepas de malware, Palo Alto dice que no pudo obtener esta carga util de tercera etapa, pero si noto una superposicion de la infraestructura de comando y control del malware con operaciones pasadas.

Sin embargo, la empresa tambien observa que la infraestructura de C & C estaba alojada en dominios comprometidos y que habia varios meses entre los incidentes, lo que significa que diferentes grupos podrian haber usado el mismo servidor.


Fecha actualizacion el 2017-10-06. Fecha publicacion el 2017-10-06. Categoria: Hackers. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
Hackers secuestran conversaciones