Tiempo de leer: 3 minutos

¿Utiliza los servicios de mensajería financiera de SWIFT? Millones de personas en todo el mundo lo hacen. Este sistema conecta a más de 11,000 organizaciones bancarias y de seguridad, infraestructuras de mercado y clientes corporativos en más de 200 países y territorios. Los ciberdelincuentes también lo están utilizando, pero de formas especiales y tortuosas. Recientemente, los expertos del Comodo Threat Research Lab descubrieron este nuevo ataque sofisticado, donde los perpetradores utilizaron SWIFT para camuflar la penetración del malware en las redes de múltiples empresas.

Este correo electrónico se colocó en las bandejas de entrada de las empresas:

Como puede ver, informa al destinatario sobre un mensaje SWIFT en una "transferencia bancaria a su cuenta bancaria designada" y recomienda obtener los detalles del archivo adjunto.

En realidad, como Comodo Laboratorio de investigación de amenazas Los analistas descubrieron que el "mensaje rápido" no es más que malware: Trojan.JAVA.AdwindRAT. Una vez que ha penetrado en el sistema de un usuario, modifica el registro, genera muchos procesos, busca un antivirus instalación e intenta matar su proceso. Además, el malware verifica la presencia de herramientas forenses, de monitoreo o anti-adware, luego suelta estos archivos ejecutables maliciosos y establece una conexión con un dominio en la red Tor oculta. El malware también intenta deshabilitar la opción de restauración de Windows y apaga la función de Control de cuentas de usuario, que evita la instalación de un programa sin que el usuario lo sepa.

¿Cuál es el propósito de estos ataques de malware? Lo más probable es que sea un intento de espionaje o una acción de "reconocimiento", dicen los expertos del Laboratorio de Investigación de Amenazas de Comodo. Los atacantes envían su "ciberespía" para recopilar información sobre los atacados red empresarial y puntos finales, preparándose así para la segunda fase del ciberataque con más tipos de malware. Al tener la información precisa sobre la empresa, estos ciberatacantes pueden incluso crear malware específicamente ajustado al entorno objetivo para evitar todos los mecanismos defensivos de la empresa y llegar al corazón del objetivo.

Lo que es aún más interesante es el aspecto de ingeniería social de este ataque. Como han descubierto los expertos del laboratorio, algunos ataques recientes de phishing por correo electrónico también utilizaron mensajes SWIFT falsos como camuflaje.

Uno puede preguntarse, entonces, ¿por qué los ciberdelincuentes eligen SWIFT para camuflarse?

La razón tiene sus raíces en la psicología humana detrás de esto. Primero, cuando se trata de dinero y especialmente de asuntos de cuentas bancarias, todas las personas sienten excitación emocional. Por el contrario, cualquier excitación emocional provoca una reducción del pensamiento crítico, y las posibilidades de que el objetivo haga clic en el cebo malicioso aumentan significativamente. Cuando se trata de las cuentas financieras de una empresa, las emociones aumentan aún más. Si un empleado recibe un correo electrónico, tendrá miedo de no abrirlo. ¿Y si dejan pasar algo muy importante para la empresa? ¿Podrían ser castigados por no mirar ese correo electrónico? En consecuencia, aumentan las posibilidades de que una víctima potencial haga clic en el archivo infectado.

Aquí está el mapa de calor y las direcciones IP utilizadas en este ataque.

Como puede ver, los ciberdelincuentes proporcionaron el ataque desde las direcciones IP de los Países Bajos, Chipre y Turquía. Los atacantes utilizaron el correo electrónico JoeH@snovalleyprocess.com en el que el dominio no existe realmente. El ataque comenzó el 9 de febrero a las 00:00 UTC y terminó a las 08:56 UTC.

“Como vemos, los ciberdelincuentes utilizan cada vez más a menudo temas relacionados con las finanzas como cebo para hacer que los usuarios descarguen malware e infecten la red de una empresa”, dijo Fatih Orhan, director del Comodo Threat Research Lab. “Combinan patrones técnicos y humanos como una combinación explosiva para romper la puerta y dejar entrar el malware. Pero solo funciona si la empresa ha sido descuidada con la defensa correcta de esa puerta. Las empresas bajo la protección de Comodo no han sufrido porque el 'mensaje SWIFT' malicioso fue detenido por Comodo antispam filtros y luego reconocidos y neutralizados por expertos de Comodo Threat Research Lab ".

¡Vive seguro con Comodo!

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/comodo-threat-research-lab-reveals-new-vicious-trick/