malware alert

EEUU informa de malware desde Corea del Norte que intenta robar contraseña

Un nuevo mensaje desde Estados Unidos por parte del FBI intenta informar a los usuarios de un par de nuevos malware creados y distribuidos desde Corea del Norte dirigidos a infiltrar sistemas informáticos, robar contraseñas personales y todos los datos que puedan.

Informa el FBI que hackers de Corea del Norte han modificado una herramienta de acceso remoto (RAT) llamada Joanap,  y un gusano basado en Mensajes de Servidor llamado Brambul y la han estado usando desde por lo menos el 2009 infiltrando y atacando todo tipo de empresas, desde aeroespacial, financiero, medios de comunicación y cualquiera que tengan al alcance de sus garras.

Hidden Cobra, el nombre que le han dado desde el FBI al Joanap

En este enlace de seguridad se informa que el malware Joanap recibe información remota para activarse, que normalmente infecta a los equipos al ser introducido por otros malwares y por la via mas tradicional, cuando los usuarios abren y descargan archivos no seguros desde email.

Sacado desde la web de Official website of the Department of Homeland Security:

During analysis of the infrastructure used by Joanap malware, the U.S. Government identified 87 compromised network nodes. The countries in which the infected IP addresses are registered are as follows:

  • Argentina
  • Belgium
  • Brazil
  • Cambodia
  • China
  • Colombia
  • Egypt
  • India
  • Iran
  • Jordan
  • Pakistan
  • Saudi Arabia
  • Spain
  • Sri Lanka
  • Sweden
  • Taiwan
  • Tunisia

Malware often infects servers and systems without the knowledge of system users and owners. If the malware can establish persistence, it could move laterally through a victim’s network and any connected networks to infect nodes beyond those identified in this alert.

Brambul malware is a brute-force authentication worm that spreads through SMB shares. SMBs enable shared access to files between users on a network. Brambul malware typically spreads by using a list of hard-coded login credentials to launch a brute-force password attack against an SMB protocol for access to a victim’s networks.

 

Que quieren decir?

Muestra una lista de los paises que han sido comprometidos con el ataque y describe el comportamiento de un malware que en resumen infecta servidores u ordenadores sin el conocimiento de los usuarios. Y si logran establecerse en dichos sistemas, tienen la capacidad de infectar otros equipos.

El SMB es llamado asi por Microsoft (Server Message Block) y es un protocolo de compartir archivos en la red. El Barmbul utiliza este protocolo para hacer un ataque de Fuerza Bruta a las contraseñas del protocolo SMB y asi acceder a la red de la victima.

Una vez el malware tiene el control del sistema, envía un email a los criminales con el IP y los datos del sistema infectado como son nombre, usuario y contraseña.

Hasta el momento yo no me he enterado de ningún parche de seguridad de parte de Microsoft para cerrar este malware en particular, pero el FBI recomienda que su antivirus y su anti-malware estén actualizados.

Personalmente utilizo el MalwareBytes que hasta el momento ha tenido un desenvolvimiento muy bueno en mis equipos.

malware scan

Recomendaciones finales para estar seguros

  • Mantener el OS actualizado con los ultimos parches de seguridad
  • Mantener actualizados los antivirus
  • Restringir la capacidad de instalación de software por los usuarios que no sean administradores
  • Revisar todos los emails sospechosos y desactivar los macros a menos que se sepa la procedencia de los archivos.
  • Deshabilitar el uso compartido de impresoras y archivos a menos que sea estrictamente necesario, en caso de necesitarse utilizar contraseñas seguras (mas de 16 caracteres con símbolos y mayúsculas).

 

La solución como pueden ver es mantenerse atentos y actualizar su OS con los parches de seguridad.

No es la primera vez que hablo sobre el tema, puedes revisar los otros posts al respecto.

 

Con información desde Zdnet

 

Compartir

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Optimization WordPress Plugins & Solutions by W3 EDGE