Kaspersky Lab

 

Notas de Prensa

02.11.2017

“Gaza Cybergang” actualiza su arsenal con exploits y, posiblemente, con software espía para Android

Los expertos de Kaspersky Lab han identificado cambios importantes en las operaciones del famoso grupo Gaza Cybergang

Si bien el grupo ha estado activo desde al menos 2012, durante este año 2017 ha actualizado su arsenal con nuevas herramientas maliciosas

El grupo de hackers conocido como “Gaza Cybergang” lleva al menos desde el año  2012 atacando embajadas gubernamentales, diplomáticos y políticos, así como empresas petroleras, empresas gasísticas y medios de comunicación en la región de Oriente Medio y Norte de África (MENA). En 2015, los analistas de Kaspersky Lab informaron sobre la actividad del grupo después de ver un cambio significativo en sus operaciones maliciosas. En esta ocasión se ha detectado que los atacantes se dirigían contra equipos TI y de respuesta a incidentes, en un intento de obtener acceso a herramientas legítimas de evaluación de seguridad y disminuir significativamente la visibilidad de su actividad en las redes atacadas. En 2017, los analistas de Kaspersky Lab han podido observar otro significativo aumento de la actividad cibercriminal del grupo.

Los objetivos personales y geográficos permanecen sin cambios en estos nuevos ataques, pero el tamaño de las operaciones de Gaza Cybergang ha aumentado. Se ha descubierto al grupo buscando cualquier tipo de información. Y lo más importante: las herramientas de ataque utilizadas se han vuelto más sofisticadas, ya que han elaborado documentos que incluyen temas geopolíticos específicos de la región, para distribuir el malware a sus objetivos de forma personalizada, y utilizando exploits con una vulnerabilidad relativamente reciente, CVE 2017-0199 en Microsoft Access, y hasta en algunas ocasiones incluso spyware para Android.

Los cibercriminales realizan sus actividades enviando correos electrónicos que contienen varios RAT (troyanos de acceso remoto) en documentos de oficina falsos, o URLs redirigiendo a páginas maliciosas. Cuando se ejecutan, la víctima queda infectada con malware que permite recopilar archivos, pulsaciones de teclas y capturas de pantalla de los dispositivos de la víctima. Si la víctima detecta el malware inicialmente descargado, el descargador intenta instalar otros archivos en el dispositivo en un intento de evitar el bloqueo.

Análisis posteriores realizados por Kaspersky Lab sugieren el uso potencial de malware móvil por parte del grupo cibercriminal. Algunos de los nombres de archivo encontrados parecen estar relacionados con un troyano de Android. Estas mejoras en las técnicas de ataque han permitido que el grupo Gaza Cybergang evitara las soluciones de seguridad y manipulara el sistema de la víctima durante largos períodos.

Los productos de Kaspersky Lab detectan y bloquean con éxito los ataques realizados con estas técnicas.

Para evitar ser víctimas de un ataque de este tipo, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:
●    Formar al personal para que pueda distinguir los correos electrónicos de spearphishing o un enlace de phishing de aquellos correos electrónicos y enlaces legítimos;
●    Utilizar una solución corporativa de seguridad endpoint en combinación con una protección especializada contra amenazas avanzadas, como la plataforma Kaspersky Anti Targeted Attack, que es capaz de detectar ataques al analizar anomalías en la red;
●    Ofrecer al personal de seguridad TI acceso a los últimos datos e información sobre ciberamenazas, a través de soluciones de análisis, investigación y prevención de ataques específicos, como los Indicadores de compromiso (IOC) y YARA.

Más información de la campaña de Cybergang de Gaza está disponible en el blog de Securelist.

Contacto de Prensa

Virginia Sanz

Enviado por e-mail

Tel. + 34-(0) 91 502 59 59

Descargar documento

Kaspersky Lab on the Web

Virus Analyst Blogs