octubre 4, 2022

BlackParty, una nueva amenaza llegó; se hace pasar por el SAT

Ciudad de México/ 6 de julio de 2022. – El equipo de inteligencia de amenazas de Scitum fue quien detectó y nombró esta amenaza, compartiendo sus datos con el FortiGuard Labs de Fortinet para actuar conjuntamente contra ésta. Los primeros indicios de BlackParty se remontan a mayo pasado, cuando los especialistas encontraron correos de phishing que llevaban a un sitio web falso, el cual intentaba suplantar la identidad del Servicio de Administración Tributaria de México (SAT). 

La interfaz de ese sitio apócrifo era idéntica al sitio legítimo y una vez adentro, mostraba una ventana emergente en la que se pedía a la víctima ingresar un captcha para descargar un manual de usuario sobre cómo usar el sitio web. 

La carpeta llamada “Sat.zip” contenía el código malicioso encargado de descargar, descomprimir y ejecutar el archivo para establecer conexión con el centro de comando y control de BlackParty. 

 Los especialistas de FortiGuard Labs advirtieron que esta campaña no sólo está afectando a México, también actúa en distintos países de América Latina donde llega a las víctimas por correos o mensajes de phishing que llevan a páginas falsas locales. 

Alertas 

De acuerdo con la investigación, los cibercriminales recopilan varios datos de los dispositivos infectados como identificador único de la víctima, sistema operativo, antivirus instalado en el dispositivo, arquitectura del sistema operativo y validación de permisos de usuario. De esta manera no sólo tienen acceso al equipo para sumarlo a una botnet, la cual es una red que usualmente los piratas informáticos usan para ataques de denegación de servicio, también tienen control total de dispositivo y acceso a información confidencial. Gracias a la información compartida por Scitum, FortiGuard Labs se aseguró de poder contar con los medios para detectar esta amenaza a través de los diferentes vectores de ataque. 

Además, permitió a Fortinet utilizar los sensores desplegados a escala global para poder monitorear el alcance de la campaña encontrando que, en América Latina, BlackParty ha sido detectada más de 500 veces desde que fue descubierta. 

 Por ello, los sitios apócrifos que utilizan los cibercriminales han sido calificados como maliciosos. 

¿QUÉ HACER PARA PROTEGERSE? 

  • Se recomienda entender cómo funciona una campaña de phishing 
  • Usar un servicio de filtrado web que clasifique los sitios maliciosos 
  • Tener un antivirus para bloqueo de archivos de malware 
  • Usar sistemas actualizados con la última base de datos de amenazas 
  • Hacer cuarentena y eliminación de los archivos infectados 

Leave feedback about this