Enviado por fredyavila2 el Mar, 11/12/2018 - 08:51
inicio de sesión

Más de 40,000 usuarios han sufrido el robo de sus credenciales para desbloquear cuentas en línea para servicios gubernamentales, todos con algo en común, víctimas de ataques de phishing. Es posible que la información ya se haya vendido en foros clandestinos.

Investigadores de Group-IB, una compañía internacional enfocada en la prevención de ataques cibernéticos, encontraron que los datos de inicio de sesión ofrecían acceso a servicios en 30 países de todo el mundo. Un portavoz de la compañía dijo a BleepingComputer que las credenciales comprometidas se descubrieron mediante el uso de técnicas que implicaban la detección e ingeniería inversa de malware y datos forenses digitales.

La mayoría de las víctimas están ubicadas en Europa.

Más de la mitad de las víctimas son de Italia (52%), seguidas de Arabia Saudita (22%) y Portugal (5%). Los usuarios de portales gubernamentales en otros países también se vieron afectados. Entre las víctimas se encuentran empleados del gobierno, militares y ciudadanos civiles con cuentas en sitios web oficiales de Francia (gouv.fr), Hungría (gov.hu), Croacia (gov.hr), Polonia (gov.pl), Rumania (gov.ro). ), Suiza (admin.ch), y el Gobierno de Bulgaria (government.bg).Credenciales para ingresar a los servicios de las Fuerzas de Defensa de Israel (idf.il), el Ministerio de Finanzas de Georgia (mof.ge), la Dirección de Inmigración de Noruega (udi.no), los Ministerios de Relaciones Exteriores de Rumania e Italia. Los sitios web del Ministerio de Defensa italiano (difesa.it) también se vieron comprometidos. Los equipos informáticos de respuesta ante emergencias (CERT) de los países afectados han sido notificados de la amenaza para que puedan tomar medidas para minimizar los riesgos.

Las víctimas fueron victimas de operaciones phishing

Según Group-IB, los piratas informáticos pudieron capturar los pares de nombre de usuario / contraseña a través de correos electrónicos maliciosos que distribuyeron herramientas de software espía conocidas como Pony Formgrabber, AZORult y Qbot (Qakbot).La operación de phishing se dirigió a cuentas de correo electrónico personales y corporativas y disfrazó el malware como un archivo o archivo legítimo. Cuando la víctima abrió el archivo adjunto, el malware se implementaría y comenzaría a buscar información confidencial en el sistema. Pony se dirige a más de 70 programas de software, buscando credenciales en archivos de configuración, bases de datos y almacenamientos secretos. Una vez que recopila los datos, los envía al servidor de comando y control (C2) del atacante. AZORult compila las contraseñas de los navegadores web y también busca datos relacionados con la criptomoneda. Este troyano en particular viene con un conjunto diverso de capacidades que incluye la funcionalidad de descarga para entregar otras amenazas, como el ransomware Aurora.

Qbot, también conocido como QakBot y PinkSlip, es un troyano bancario multiusos que lleva más de una década de actividad. Permanece bajo el radar y se usa generalmente en ataques que apuntan a víctimas de alto perfil. Cuenta con capacidades similares a gusanos que le permiten propagarse dentro de una red comprometida y puede robar sesiones web, cookies y certificados web. El malware también incluye capacidades de registro de teclas para agarrar credenciales. Group-IB dice que los datos de inicio de sesión de los sitios web gubernamentales son menos comunes en los foros de piratas informáticos clandestinos porque no tienen un valor financiero inmediato. Sin embargo, para los atacantes más avanzados, estos inicios de sesión son un activo valioso que podría permitirles alcanzar información clasificada. También podría permitirles infiltrarse en los sitios web gubernamentales con fines de espionaje. "Incluso una cuenta de empleado gubernamental comprometida puede llevar al robo de secretos comerciales o estatales", dicen los investigadores.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila