Los criminales cibernéticos han dirigido su atención hacia los estudios de arquitectura en Dinamarca, adaptando sus tácticas para atraer a empleados de un selecto número de ellos para descargar un troyano de acceso remoto (RAT), conocido como DarkComet.
El cebo se entrega a través de la lanza-phishing,
mediante un mensaje que se escribe en perfecto danés, dicen los investigadores.
El DarkComet RAT es una pieza libre de malware
ampliamente conocido en la industria de la seguridad, ya que se utiliza a
menudo para fines nefastos, aunque su autor, un programador francés anuncia
como una herramienta de acceso remoto, una aplicación legítima que ofrece un
alto nivel de control sobre una red de ordenadores.
Ataque dirigido, Suite fuerte de funciones
identificado
- Los investigadores de seguridad en la organización de seguridad danesa CSIS encontraron que un grupo de cibercriminales ha adaptado el contenido del correo electrónico malicioso a ser de su interés particular a las empresas de arquitectura, incitando el destinatario para descargar un archivo que pretende ser generado por AutoCAD 2D y software de diseño 3D.
- El elemento se almacena en una cuenta de Dropbox y una vez descargado y ejecutado comienza automáticamente la recogida y exfiltrating datos desde el sistema comprometido.
- Aparte de esto, la amenaza también cuenta con funciones como la captura de pulsaciones de teclas, recogida de datos desde el portapapeles, realizar capturas de pantalla, activar la cámara web y el micrófono, o la creación de una sesión de escritorio remoto. A partir del análisis inicial, los expertos del CSIS determinaron que la pieza de malware es DarkComet.
- Para enmascarar el compromiso, la amenaza muestra un cuadro de diálogo que informa a la víctima que un archivo DLL que falta, engañando a creer que el archivo de proyecto está dañado y no funciona. Sin embargo, esto es suficiente para DarkComet para desplegar sus rutinas maliciosas en el fondo.
- Durante su análisis, los expertos encontraron que el comando y control (C & C) del servidor utilizado por los ciberdelincuentes para comunicarse con DarkComet se encuentra a una dirección IP en Canadá.
- La semana pasada, el CSIS informó que una operación de phishing se dirige a los quiroprácticos en Dinamarca , la entrega de un ransomware con capacidades de cifrado de archivos a su autor (s) llamó PacMan.
- Ellos determinaron que ambas oficinas quiropráctico y estudios de arquitectura en el país son atacados por el mismo grupo de personas.
