• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Torisma, el spyware utilizado por ciberdelincuentes norcoreanos

Torisma, el spyware utilizado por ciberdelincuentes norcoreanos

8 noviembre, 2020 Por jbaratech Dejar un comentario

Un reciente estudio llevado a cabo por los investigadores de McAfee Christiaan Beek y Ryan Sherstobitoff desvela un hasta ahora desconocido spyware empleado en los pasados ataques de julio contra la industria aeroespacial y de defensa, bajo el nombre de «Operation North Star«.

En la pasada campaña de julio, el equipo de McAfee descubrió una serie de archivos infectados con malware que contenían ofertas de trabajo de los principales contratistas de defensa y de la industria aeroespacial de Rusia e India. Uno de los propósitos de dicho malware era la recopilación de datos sensibles de la máquina de la victima, para una posterior clasificación de dichos datos en función de su valor.

Ahora, gracias el hallazgo de los investigadores, se ha descubierto que los atacantes tambíen instalaban un spyware denominado «Torisma» para el continuo monitoreo de la actividad de la víctima.

Diagrama de flujo del ataque

Los atacantes alojaron los servidores de comando y control (C2) en sitios web legítimos de EE.UU e Italia, lo que les permitió eludir las medidas de seguridad de las organizaciones, ya que no suelen bloquear webs confiables.

El implante de primera etapa se encargaría de monitorizar continuamente los datos de la máquina de la víctima: (IP, fecha, User-Agent…), y no sería hasta un posterior análisis de dichos datos, cuando se tomaría la decisión de infectar a la víctima con el spyware «Torisma» para un posterior seguimiento con mayor profundidad, como ejecuciones de shellcode personalizado y monitorización de conexiones de escritorio remoto.

Más información:

Operation North Star: Behind The Scenes https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-behind-the-scenes/

Operation (노스 스타) North Star A Job Offer That’s Too Good to be True? https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking de dispositivos iOS

Malware en Android

Archivado en: Ataques, Malware Etiquetado con: spyware, Torisma

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware "Jester"
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales
  • El Discord oficial de Opensea (mercado de NFT) es hackeado
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...