Home » Seguridad » Malware persistente. NetTraveler está de vuelta

Malware persistente. NetTraveler está de vuelta

El Equipo Global de Investigación y Análisis de Kaspersky Lab reporta sobre un nuevo vector de ataque del NetTraveler

Investigadores de Kaspersky Lab anunciaron  un nuevo vector de ataque de NetTraveler (también conocido como “Travnet”, “Netfile” o APT Estrella Roja), una amenaza persistente y avanzada  que ya ha infectado a cientos de víctimas de alto perfil en más de 40 países.

kaspersky lab blogLos blancos conocidos de NetTraveler incluyen a activistas tibetanos /Uigur, empresas de la industria petrolera, centros e institutos de investigación científica, universidades, empresas privadas, gobiernos e instituciones gubernamentales, embajadas y contratistas militares.

Inmediatamente después de la exposición pública de las operaciones de NetTraveler en junio de 2013, los asaltantes cerraron todos los sistemas de mando y control conocidos y se trasladaron a nuevos servidores en China, Hong Kong y Taiwán. También continuaron los ataques sin obstáculos, como lo demuestra el caso actual.

En los últimos días, varios correos de phishing fueron enviados a diversos activistas uigures. El exploit Java utilizado para distribuir esta nueva variante del APT Estrella Roja fue parcheado recientemente en junio de 2013 y tiene una tasa de éxito mucho mayor. Los ataques anteriores utilizaron un exploit de Office (CVE-2012 – 0158) que fue parcheado por Microsoft en abril.

Además de la utilización de correos de spear-phishing, los operadores de APT han adoptado la técnica de watering hole (redirecciones de web y descargas automáticas mientras se navega en dominios comprometidos) para infectar a las víctimas que navegan por la web.

Durante el último mes, Kaspersky Lab ha interceptado y bloqueado una serie de intentos de infección del dominio “wetstock [dot] org”, un sitio conocido, relacionado con los ataques de NetTraveler anteriores. Estas redirecciones parecen provenir de otros sitios web relacionados a los uigures que fueron comprometidos e infectados por los atacantes de NetTraveler.

Los expertos del Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en inglés) predicen que otros exploits recientes podrían integrarse y utilizarse contra los blancos del grupo y ofrecen recomendaciones sobre cómo mantenerse a salvo de este tipo de ataques, entre ellos:

  •  Actualice Java a la versión más reciente o, si usted no utiliza Java, desinstálelo
  • Actualice Microsoft Windows y Office a sus últimas versiones
  • Actualice software de terceros, como Adobe Reader
  •  Utilice un navegador seguro como Google Chrome, que tiene un ciclo de desarrollo más rápido y parches que el navegador por defecto de Windows, Internet Explorer
  • Tenga cuidado al hacer clic en enlaces y abrir archivos adjuntos de personas desconocidas

 “Hasta ahora, no hemos notado el uso de vulnerabilidades de ‘día cero’ por el grupo de NetTraveler.  Para defenderse de estas, a pesar de que los parches no ayudan,  tecnologías como la Prevención Automática de Exploits y DefaultDeny pueden ser muy eficaces en la lucha contra amenazas persistentes avanzadas”, comenta  Costin Raiu, director del Equipo Global de Investigación y Análisis de Kaspersky Lab.

Para obtener más información sobre el nuevo ataque de NetTraveler, por favor visite securelist.com.

About Alicia Medina Rapetti

Managing Editor y cofundadora de OnDigital Magazine. Licenciada en Periodismo. Ha ejercido en radio, semanario y agencia de noticias. Fue editora y ejecutiva de Relaciones Públicas en Interamerican Marketing Solutions (IMS), con sede en Miami; Gerente de Marketing para A. Latina de ViewSonic Corporation; y CEO/fundadora de OrangebitePR.