Descubren una nueva boutique de malware comercial

  • Seguridad
Malware avanzado para APT_foto

Conocida por el nombre de Grupo Poseidón, se trata de una entidad con fines comerciales cuyos ataques utilizan malware personalizado firmado digitalmente con certificados falsos.

Global Research & Analysis Team (GReAT) de Kaspersky Lab ha anunciado el descubrimiento del Grupo Poseidón, un actor de amenazas avanzadas activas que lleva operando globalmente, como mínimo, desde 2005. Su particularidad es que se trata de una entidad con fines comerciales, cuyos ataques implican malware personalizado firmado digitalmente con falsos certificados, diseñado para funcionar específicamente en equipos Windows en portugués e inglés. Su objetivo es robar datos confidenciales de las víctimas para obligarlas a contratar los servicios de Poseidón Security como consultora de seguridad, bajo la amenaza de utilizar la información robada en favor de Poseidón. 

Según Kaspersky Lab, se han identificado al menos 35 de las empresas víctima, entre las que se incluyen instituciones financieras y gubernamentales, telecomunicaciones, energía y otras empresas de servicios públicos, así como medios de comunicación y empresas de relaciones públicas y de servicios para altos ejecutivos.

Una de las características del Grupo Poseidón es la exploración activa de las redes corporativas basadas en el dominio. Según el informe de Kaspersky Lab, utiliza principalmente emails de phishing con archivos RTF/DOC, por lo general con un señuelo relacionado con recursos humanos. Tras el clic de apertura, introduce un binario malicioso en el sistema del objetivo. Otro hallazgo clave es la presencia de hilos de conversación en portugués. Las muestras revelan una preferencia del Grupo por los sistemas en este idioma, práctica que hasta ahora no se había visto.

Según Dmitry Bestúzhev, director de investigación global de Kaspersky Lab América Latina, “el Grupo Poseidón es un equipo sólido con muchos años de trayectoria en todos los dominios: tierra, aire y mar. Algunos de sus centros de mando y control se han encontrado en el interior de los ISP que ofrecen servicios de Internet a los barcos en alta mar, en las conexiones inalámbricas, así como los operadores tradicionales”, explica. Es más, para el directivo, el hecho de que la vida útil de sus implants sea muy corta y haya evolucionado, dificultando así la tarea de correlacionar y conectar dichas técnicas al mismo grupo, es lo que les ha ayudado a operar durante tantos años sin ser detectados.

Recomendaciones que te puedan interesar…

Ciberseguridad para pymes

Gestión de snapshots y replicación: qué tener en cuenta antes de comprar

Informe Penteo 2015: Highway to cloud

Cómo va a ser 2016 para el canal de distribución

Cómo optimizar tu marketing con la regla del 5x5

Predicciones 2016 para el centro de datos (IDC)

Cómo reducir costes a lo grande

10 cosas a tener en cuenta al comprar infraestructura hiperconvergente

Principios fundamentales para el futuro de los retailers