Los correos electrónicos de phishing contenían un documento de Microsoft Word que intentaría instalar un troyano de acceso remoto en la computadora de la víctima, según la firma de seguridad Proofpoint
Un grupo de piratería patrocinado por el estado puede estar tratando de infiltrarse en las empresas de servicios públicos de EE. UU. Con correos electrónicos de phishing que contienen archivos adjuntos maliciosos de Microsoft Word.
La firma de seguridad Proofpoint obtuvo muestras de los correos electrónicos, que pretendían provenir del Consejo Nacional de Examinadores de Ingeniería y Topografía de los Estados Unidos (NCEES). Aunque los correos electrónicos parecen legítimos a primera vista, en realidad fueron enviados desde un dominio controlado por hackers en "nceess.com", en lugar del sitio oficial "ncees.org".
Los correos electrónicos de phishing contenían un documento de Microsoft Word que una vez abierto utilizaba macros, o una serie de comandos automatizados, para instalar y ejecutar una pieza de malware oculto dentro del archivo de Word. "Creemos que este puede ser el trabajo de un actor APT (amenaza persistente avanzada) patrocinado por el estado, basado en superposiciones con campañas históricas y macros utilizadas", dijo ProofPoint en el informe , que fue publicado el jueves.
Los correos electrónicos de phishing intentaron atraer a los destinatarios para que abrieran el archivo adjunto alegando que no habían aprobado un examen de licencia NCEES y que su puntaje estaba en el documento adjunto de Microsoft Word.
Proofpoint investigó el dominio relacionado con el ataque de phishing y descubrió evidencia de que los piratas informáticos involucrados también han estado tratando de hacerse pasar por otras organizaciones de ingeniería y licencias eléctricas en los EE. UU. A través de otros dominios falsificados. "Entre estos dominios, solo nceess.com se observó en campañas activas de phishing dirigidas a empresas de servicios públicos", agregó la firma de seguridad.
Los correos electrónicos de phishing se enviaron entre el 19 y el 25 de julio. El malware involucrado puede actuar como un troyano de acceso remoto para apoderarse secretamente de una computadora. Las capacidades incluyen "ver el proceso, el sistema y los datos del archivo; borrar archivos; ejecutar comandos; tomar capturas de pantalla; mover y hacer clic con el mouse; reiniciar la máquina y borrarse de un host infectado", dijo Proofpoint.
La firma de seguridad dice que las macros utilizadas en los documentos de Word contienen similitudes con otras presuntas campañas de piratería patrocinadas por el estado contra corporaciones japonesas. Proofpoint se abstuvo de identificar a las tres compañías estadounidenses a las que apunta el esquema de phishing, pero dijo que está claro que los proveedores de infraestructura crítica de EE. UU. Deben estar en guardia contra posibles intentos de intrusión. En los últimos años, las firmas de seguridad han descubierto evidencia de piratas informáticos nacionales que atacan a las empresas de servicios públicos con malware que puede espiar e incluso perturbar las fábricas y las centrales eléctricas.
Fecha actualización el 2021-08-02. Fecha publicación el 2019-08-02. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: pcmag Version movil