Especialistas en ciberseguridad de F.A.C.C.T. advierten a las empresas rusas sobre los ataques de Narketing163. Empresas de más de veinte países ya han sido víctimas de estos atacantes: desde Kazajistán, Azerbaiyán, Armenia, Bulgaria, Ucrania, Turquía y Estados Unidos hasta Noruega, Sri Lanka, Luxemburgo y México. Los "correos de la desgracia" de Narketing163 también se reciben en Rusia.
Como señalan los especialistas, Narketing163 envía correos electrónicos haciéndose pasar por direcciones electrónicas con dominios de nivel superior tr, az, com, kz, pe, info, net, imitando la actividad de empresas reales. Al mismo tiempo, las direcciones IP del atacante cambiaban constantemente en los envíos. En los correos electrónicos enviados, dejaba direcciones electrónicas de respuesta que, presumiblemente, él mismo había registrado: narketing163@gmail[.]com, tender12@mail[.]com, verconas@mail[.]com, kubrayesti@gmail[.]com.
La temática de los textos de los correos electrónicos suele estar relacionada con ofertas comerciales de servicios y productos, plazos de entrega, procesamiento de pedidos y su pago, y están dirigidos a empresas de diversos sectores: comercio electrónico, venta minorista, industria química, construcción, medicina, seguros e industria alimentaria. Se le ofrece al destinatario del correo electrónico, para obtener información completa sobre la oferta comercial, descargar un archivo adjunto que contiene contenido malicioso.
En sus ataques, Narketing163 utiliza diversos programas maliciosos escritos para el sistema operativo Windows: RedLine Stealer, Agent Tesla, FormBook, también conocido como Formgrabber, Snake Keylogger. Cada uno de estos programas maliciosos está diseñado para diferentes fines de los estafadores:
- RedLine Stealer recopila datos sobre el sistema operativo de la víctima, realiza tareas de hackers en él y también se dedica al robo de archivos. El programa extrae información de los navegadores del dispositivo infectado, todos los nombres de usuario y contraseñas, archivos cookie, datos de autocompletado y tarjetas de crédito, información de clientes FTP y clientes de mensajería instantánea;
- Agent Tesla, al ingresar al dispositivo, captura la cámara de la víctima, recopila toda la información sobre el dispositivo infectado, roba datos de contraseñas de aplicaciones y navegadores. Si es necesario, puede descargar desde el exterior y ejecutar otros programas maliciosos en el dispositivo de la víctima;
- FormBook (FormBookFormgrabber) roba datos de navegadores, clientes FTP y mensajeros. El programa malicioso se introduce en los procesos y rastrea las pulsaciones de teclas, roba datos del portapapeles y extrae datos de sesiones HTTP;
- Snake Keylogger registra y transmite a los atacantes datos de las pulsaciones de teclas de los usuarios: nombres de usuario, contraseñas, datos de tarjetas bancarias y otra información.
Para protegerse de este tipo de ataques, los especialistas de F.A.C.C.T. recomiendan:
- utilizar soluciones de software para proteger el correo electrónico, detectar y responder a las ciberamenazas y realizar análisis proactivos de las ciberamenazas;
- actualizar regularmente el software instalado;
- capacitar a los empleados y realizar ataques de phishing de prueba para verificar si los empleados pueden reconocer una ciberamenaza.
También se aconseja a los usuarios corporativos que presten atención a una serie de signos de un correo electrónico de estafadores en Internet. Debe alertar si:
- el correo electrónico se recibió sin notificación de posibles socios y no se corresponde con la especificidad de la actividad de la empresa;
- la empresa rara vez trabaja con clientes/socios extranjeros o no trabaja en absoluto, pero recibió un correo electrónico en un idioma extranjero: condicionalmente, en azerbaiyano, inglés o turco;
- en el asunto del correo electrónico se indica "SOLICITUD URGENTE", u otra formulación para manipular a los destinatarios y presionarlos;
- en el correo electrónico recibido no hay mención de individualidad y mención del nombre, empleados, productos de la empresa a la que se dirige. Es decir, el correo electrónico puede ser un envío masivo universal;
- en el correo electrónico hay errores ortográficos: a menudo son utilizados por los atacantes para eludir los filtros de spam;
- el remitente del correo electrónico tiene una dirección de correo electrónico sospechosa, que imita el correo corporativo de una gran empresa. Debe verificar la dirección en el sitio web oficial de la empresa en nombre de la cual se le ofrece una asociación;
- en el correo electrónico hay enlaces a sitios web sin certificado SSL (con la abreviatura http en lugar de https) o con dominios sospechosos. No se puede hacer clic en dichos enlaces, y si hay dudas, se debe verificar la legitimidad de los dominios en los motores de búsqueda);
- en los correos electrónicos hay archivos adjuntos sospechosos. No se deben descargar archivos de fuentes no confiables.
Leer materiales sobre el tema:
Замена Microsoft: российский РЕД СОФТ рассказал о планах на будущее
Вирус-шпион Unicorn атакует российских разработчиков и поставщиков электронных компонентов
Ростелеком опроверг информацию об утечке личных данных с сайта реестра электронных повесток