Los analistas de Kaspersky Lab han descubierto la Operación Ghoul, una nueva oleada de ciberataques dirigidos contra diferentes sectores en varios países de todo el mundo.
En junio de 2016, se detectó una oleada de phishing con archivos adjuntos maliciosos. Estos mensajes se enviaron principalmente a los administradores de nivel superior y medio de numerosas empresas. Los correos electrónicos parecían proceder de un banco en los Emiratos Árabes Unidos: simulaba un aviso de pago del banco con un documento adjunto Swift, pero en realidad el archivo adjunto contenía malware.
Lo más probable es que la campaña de phishing haya sido organizada por un grupo cibercriminal que los analistas de la compañía ya rastreaban desde marzo de 2015. Los ataques de junio parecen ser la operación más reciente llevada a cabo por este grupo.
El malware en el archivo adjunto se basa en el software espía comercial HawkEye que se vende abiertamente en la Darkweb, y ofrece una variedad de herramientas para los ciberatacantes. Después de la instalación, recoge datos interesantes del PC de la víctima, incluyendo:
- Pulsaciones.
- Datos del escritorio.
- Credenciales del servidor FTP.
- Datos de la cuenta de los navegadores.
- Datos de la cuenta de clientes de mensajería (Paltalk, Google Talk, AIM …).
- Información acerca de las aplicaciones instaladas (Microsoft Office).
Estos datos se envían a los servidores de comando y control del actor amenaza. Según la información interceptada de los servidores de comando y control, la mayoría de las víctimas eran organizaciones que trabajan en los sectores industrial y de ingeniería, como transporte, productos farmacéuticos, fabricación, organizaciones educativas y otro tipo de entidades. Todas estas empresas tenían información valiosa que podría venderse posteriormente en el mercado negro.
hemeroteca
