• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Detectado un grupo dedicado al ciberespionaje de casas de juego y apuestas

Detectado un grupo dedicado al ciberespionaje de casas de juego y apuestas

20 febrero, 2020 Por Francisco Salido 1 comentario

DRBControl es el nombre con el que investigadores de Trend Micro han bautizado a un nuevo grupo de atacantes dedicados al ciberespionaje de casas de juego y apuestas. Los atacantes hacían uso de un malware no conocido hasta la fecha cuyo propósito era el robo de información de las bases de datos y repositorios de código de estas empresas.

Aunque el foco de los atacantes se encuentra en empresas de origen asiático, algunos reportes informan también de ataques en Europa y Oriente Medio.

Tras estudiar uno de los ataques realizados a una compañía de Filipinas, el equipo de Trend Micro pudo descubrir un completo arsenal de «backdoors» y «exploits» que el grupo utilizaba para sus operaciones.

Esto permitió a los investigadores trazar un perfil más detallado sobre el grupo y su «modus operandi»:

La primera fase de la intrusión consistía en un ataque de «spear phishing» que utilizaba documentos .DOCX para infectar las máquinas.

La infección utilizaba el servicio legítimo MSMpEng.exe (Antimalware Service Executable) para cargar una DLL maliciosa y ejecutar la puerta trasera que llamaremos Tipo 1. Las últimas versiones de este malware tenían la particularidad de utilizar Dropbox como servidor de control y comando, desde donde descargar diversos payloads, herramientas de post-explotación y almacenar la información robada.

Los atacantes también desplegaban un segundo tipo de puerta trasera, independiente del primero pero con funcionalidades de espionaje y control parecidas. Al igual que el primero, este malware está escrito en C++ y utiliza un mecanismo similar para cargarse a través de una DLL maliciosa. El malware utilizaba claves del registro de Windows para guardar la información de conexión con el C&C y también implementaba mecanismos de persistencia en el sistema.

Las campañas también utilizaban otras familias ya conocidas, como son:

  • PlugX RAT
  • Trochilus RAT
  • MFC Keyloggers
  • HyperBro
  • Cobalt Strike

El grupo DRBControl se vale de estas puertas traseras para conseguir información confidencial sobre las empresas objetivo: documentos de Office, ficheros PDF, bases de datos, cookies del navegador y bases de datos de KeePass.

Además utilizan diversas herramientas de post-explotación que permiten:

  • Robar información del portapapeles
  • Analizar el tráfico de red
  • Obtener la IP pública de la máquina
  • Obtener información de la red de la máquina
  • Realizar ataques de fuerza bruta
  • Elevar privilegios en el sistema
  • Volcado de contraseñas
  • Salto de protecciones UAC
  • Cargar y ejecutar código

Si bien todo parece indicar que DRBControl es un nuevo grupo, se han encontrado algunas relaciones con otros grupos APT como Winnti y Emissary Panda (también conocidos como BRONZE UNION, APT27, Iron Tiger o LuckyMouse).

Puede obtenerse más información en el informe elaborado por Trend Micro disponible en su web.

Más información:

Operation DRBControl

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking Web Applications

Hacking con Metasploit

Una al día

Archivado en: Ataques Etiquetado con: APT, apuestas, ciberespionaje, keepass, malware

Interacciones con los lectores

Comentarios

  1. Diego dice

    27 abril, 2020 en 1:34 pm

    Dios mio que terrible! Entonces no es para nada seguro hacer apuestas como dicen los sitios de apuestas? Yo he visto que dicen que son 100% seguros! Muy buen articulo!

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Empleados de empresas de fusiones y adquisiciones, nuevo "target" de los Ciberdelincuentes.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...