Los investigadores de seguridad cibern\u00e9tica dijeron que han descubierto lo que dicen que es el primer ataque a la cadena de suministro de software de c\u00f3digo abierto dirigido espec\u00edficamente al sector bancario.<\/p>\n
“Estos ataques mostraron t\u00e9cnicas avanzadas, incluido el objetivo de componentes espec\u00edficos en los activos web del banco de la v\u00edctima al adjuntarle funcionalidades maliciosas”, Checkmarx dicho<\/a> en un informe publicado la semana pasada.<\/p>\n “Los atacantes emplearon t\u00e1cticas enga\u00f1osas como crear un perfil falso de LinkedIn para parecer centros de mando y control (C2) cre\u00edbles y personalizados para cada objetivo, explotando servicios leg\u00edtimos para actividades il\u00edcitas”.<\/p>\n Desde entonces, los paquetes npm han sido informados y eliminados. Los nombres de los paquetes no fueron revelados.<\/p>\n En el primer ataque, se dice que el autor del malware subi\u00f3 un par de paquetes al registro de npm a principios de abril de 2023 haci\u00e9ndose pasar por un empleado del banco objetivo. Los m\u00f3dulos ven\u00edan con un script de preinstalaci\u00f3n para activar la secuencia de infecci\u00f3n. Para completar la artima\u00f1a, el actor de amenazas detr\u00e1s de ella cre\u00f3 una p\u00e1gina falsa de LinkedIn.<\/p>\n Una vez iniciado, el script determin\u00f3 el sistema operativo del host para ver si era Windows, Linux o macOS, y procedi\u00f3 a descargar un malware de segunda etapa desde un servidor remoto utilizando un subdominio en Azure que incorporaba el nombre del banco en cuesti\u00f3n.<\/p>\n “El atacante utiliz\u00f3 h\u00e1bilmente los subdominios CDN de Azure para entregar de manera efectiva la carga \u00fatil de la segunda etapa”, dijeron los investigadores de Checkmarx. “Esta t\u00e1ctica es particularmente inteligente porque pasa por alto los m\u00e9todos de lista de denegaci\u00f3n tradicionales, debido al estado de Azure como un servicio leg\u00edtimo”.<\/p>\n La carga \u00fatil de la segunda etapa utilizada en la intrusi\u00f3n es Havoc, un marco de comando y control (C2) de c\u00f3digo abierto que ha pasado cada vez m\u00e1s bajo el radar de los actores malintencionados que buscan eludir la detecci\u00f3n derivada del uso de Cobalt Strike, Sliver y Brute Ratel.<\/p>\n En un ataque no relacionado detectado en febrero de 2023 dirigido a un banco diferente, el adversario subi\u00f3 a npm un paquete que estaba “meticulosamente dise\u00f1ado para mezclarse con el sitio web del banco v\u00edctima y permanecer inactivo hasta que se le solicitara que entrara en acci\u00f3n”.<\/p>\n Espec\u00edficamente, fue dise\u00f1ado para interceptar de forma encubierta los datos de inicio de sesi\u00f3n y filtrar los detalles a una infraestructura controlada por un actor.<\/p>\n “La seguridad de la cadena de suministro gira en torno a la protecci\u00f3n de todo el proceso de creaci\u00f3n y distribuci\u00f3n de software, desde las etapas iniciales de desarrollo hasta la entrega al usuario final”, dijo la empresa.<\/p>\n “Una vez que un paquete malicioso de c\u00f3digo abierto ingresa a la tuber\u00eda, es esencialmente una violaci\u00f3n instant\u00e1nea, lo que hace que las contramedidas posteriores sean ineficaces. En otras palabras, el da\u00f1o ya est\u00e1 hecho”.<\/p>\n El desarrollo se produce cuando el grupo de ciberdelincuencia de habla rusa RedCurl viol\u00f3 un importante banco ruso an\u00f3nimo y una empresa australiana en noviembre de 2022 y mayo de 2023 para desviar secretos corporativos e informaci\u00f3n de los empleados como parte de una sofisticada campa\u00f1a de phishing, dijo FACCT, el brazo ruso de Group-IB.<\/p>\n “Durante los \u00faltimos cuatro a\u00f1os y medio, el grupo de habla rusa Red Curl […] ha llevado a cabo al menos 34 ataques contra empresas del Reino Unido, Alemania, Canad\u00e1, Noruega, Ucrania y Australia”, dijo la empresa dicho<\/a>.<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n \u00danete hoy<\/a><\/section>\n “M\u00e1s de la mitad de los ataques, 20, cayeron en Rusia. Entre las v\u00edctimas de los ciberesp\u00edas se encontraban empresas constructoras, financieras, de consultor\u00eda, minoristas, bancos, seguros y organizaciones legales”.<\/p>\n Las instituciones financieras tambi\u00e9n han estado en el extremo receptor de los ataques que aprovechan un conjunto de herramientas de inyecci\u00f3n web llamado drIBAN para realizar transacciones no autorizadas desde la computadora de una v\u00edctima de una manera que elude la verificaci\u00f3n de identidad y los mecanismos antifraude adoptados por los bancos.<\/p>\n “La funcionalidad principal de drIban<\/a> es el motor ATS (Automatic Transfer System)”, los investigadores de Cleafy Federico Valentini y Alessandro Strino anotado<\/a> en un an\u00e1lisis publicado el 18 de julio de 2023.<\/p>\n “ATS es una clase de inyecci\u00f3n web que altera sobre la marcha las transferencias bancarias leg\u00edtimas realizadas por el usuario, cambiando el beneficiario y transfiriendo el dinero a una cuenta bancaria ileg\u00edtima controlada por TA o afiliados, que luego son responsables de manejar y lavar el dinero robado”.<\/p>\n <\/p>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1690192661_559_Sector-bancario-blanco-de-ataques-a-la-cadena-de-suministro.jpg\" "\\"Ataques")
<\/div>\n