Una reciente campaña de ingeniería social, presuntamente relacionada con el grupo de ransomware Black Basta, ha sido vinculada a múltiples intentos de intrusión cuyo objetivo es robar credenciales y desplegar un malware conocido como SystemBC. Este ataque se distingue por su astucia, utilizando tácticas de suplantación para engañar a los usuarios y hacerles descargar software legítimo como Anydesk, que luego sirve como canal para el despliegue de payloads maliciosos.
Detalles del Ataque
El ataque comienza con un “email bomb”, un tipo de ataque de denegación de servicio que inunda las bandejas de entrada con miles de correos electrónicos. Posteriormente, los atacantes se ponen en contacto con las víctimas a través de llamadas telefónicas realizadas mediante Microsoft Teams, haciéndose pasar por personal de soporte técnico.
Una vez que logran engañar a la víctima para que descargue AnyDesk, los atacantes proceden a ejecutar una serie de archivos maliciosos, incluidos scripts de PowerShell y binarios diseñados para establecer comunicación con servidores remotos. Entre los elementos maliciosos desplegados, destaca un archivo ejecutable llamado “AntiSpam.exe”, que engaña a los usuarios haciéndoles creer que están descargando filtros de correo no deseado, cuando en realidad están proporcionando sus credenciales de Windows a los atacantes.
El malware SystemBC, utilizado en este ataque, actúa como un proxy SOCKS, facilitando la comunicación entre la máquina comprometida y el servidor de comando y control (C2) de los atacantes, permitiéndoles mantener un control persistente y exfiltrar datos sensibles.
Recomendaciones de Seguridad
Para mitigar los riesgos asociados con este tipo de amenazas, es esencial implementar las siguientes medidas de seguridad:
- Bloquear Herramientas de Escritorio Remoto No Aprobadas: Limitar el uso de software de acceso remoto a soluciones previamente aprobadas y monitoreadas por el equipo de TI.
- Vigilar Llamadas y Mensajes Sospechosos: Capacitar a los empleados para que estén atentos a llamadas y mensajes inusuales que afirmen ser del personal de TI.
- Fortalecer la Conciencia de Phishing: Realizar campañas de concienciación sobre phishing para que los usuarios puedan identificar correos electrónicos sospechosos y evitar caer en trampas.
Tendencias Recientes en Malware
Este ataque es solo uno de los muchos que han surgido recientemente. Otros malwares notables, como SocGholish y GootLoader, están ganando terreno en 2024, siendo utilizados como cargas iniciales para entregar ransomware. Estos loaders se comercializan en foros de la dark web, y su modelo de suscripción permite que incluso actores con poca experiencia técnica puedan realizar ataques sofisticados.
Conclusión
La sofisticación y persistencia de estas campañas subrayan la necesidad de mantener una postura de seguridad proactiva. Las organizaciones deben estar siempre alerta y mejorar continuamente sus defensas cibernéticas para protegerse contra amenazas emergentes como SystemBC y las tácticas empleadas por grupos como Black Basta.
Indicadores de compromiso
¿Está su empresa preparada para enfrentar este tipo de amenazas?
Póngase en contacto con nuestro equipo de expertos en ciberseguridad para una evaluación completa y mantenga sus sistemas protegidos contra los últimos ataques.
