BlackParty: nueva campaña de malware apunta a América Latina

El equipo de inteligencia de amenazas de Telmex-Scitum descubrió una nueva campaña de malware troyano llamada “BlackParty, que compartió la información con FortiGuard Labs de Fortinet para una acción conjunta contra la amenaza. El objetivo principal de BlackParty es agregar dispositivos infectados a una botnet y luego realizar actividades maliciosas como robar información, robar criptomonedas y tomar el control total del dispositivo infectado.

El malware está operando en diferentes países de América Latina, llegando a las víctimas a través de correos electrónicos de phishing o mensajes que conducen a páginas locales falsas. Los datos recopilados de los dispositivos infectados incluyen:

  • Identificador único de víctima
  • Sistema operativo
  • Antivirus instalado en el dispositivo
  • Arquitectura del sistema operativo
  • Validación de permisos de usuario

Según los sensores de Fortinet utilizados para monitorear el alcance de la campaña, Brasil es actualmente el objetivo principal de BlackParty y ha sido detectado más de 500 veces desde que se descubrió.

BlackParty fue descubierto en mayo luego de que Scitum detectara correos electrónicos de phishing que conducían a un sitio web falso que intentaba hacerse pasar por el Servicio de Administración Tributaria de México, cuya interfaz era idéntica al sitio web legítimo. Luego, el sitio mostraría una ventana emergente que le pediría a la víctima que ingrese un captcha y luego descargue un manual de usuario sobre cómo usar el sitio. La carpeta denominada “Sat.zip” contenía el malware responsable de descargar, descomprimir y ejecutar el archivo para establecer una conexión con el centro de mando y control del atacante.

Todas las URL relevantes fueron clasificadas como “sitios maliciosos” por el servicio de filtrado web de Fortinet, con tecnología de inteligencia de amenazas de FortiGuard Labs, y se agregaron indicadores de compromiso (IoC) a las soluciones de la compañía, respetando el nombre dado por Scitum. Se agregó información sobre el nuevo malware a la Enciclopedia pública de amenazas de FortiGuard Labs.

1. A41D1649A524DFD0E7A256D98D32366E –

2. 20DD296E9CABA9A86B9E1D5578B3075F –

3. 9CEB35DB24F1514D95C6AC75D1A6BC39 –

4. 1D57FC403FCE72C9A2ED73E178585C77 –

5. 640D5A5FE954C4EFDD4AEECE468E99FB –

¿Qué hacer para protegerse?

La protección más eficaz es siempre la concienciación del usuario final, que debe saber cómo identificar correos electrónicos y mensajes sospechosos, así como comprender cómo funciona una campaña de phishing. El curso de portugués de Fortinet NSE 1 incluye un módulo sobre amenazas de Internet que aborda exactamente este tema.

Además, las soluciones de ciberseguridad avanzadas ayudan a las organizaciones a mantenerse seguras. Por ejemplo:

1. Servicio de filtrado web que clasifica los “sitios web maliciosos

2. Antivirus para bloquear archivos de malware

3. Sistemas actualizados con la última base de datos de amenazas

4. Poner en cuarentena y eliminar archivos infectados

5. Sustitución de archivos infectados por copias de seguridad limpias

El reciente acuerdo de colaboración con Telmex-SCIUM -empresa de ciberseguridad de México con presencia en América Latina, Estados Unidos y algunos países de Europa-, para compartir información estratégica sobre amenazas relacionadas con la ciberseguridad colaborar para fortalecer las detecciones.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Te puede interesar:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.