{"id":12111,"date":"2023-03-29T10:50:32","date_gmt":"2023-03-29T15:50:32","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=12111"},"modified":"2023-03-29T10:50:37","modified_gmt":"2023-03-29T15:50:37","slug":"alerta-de-seguridad-por-descubrimiento-de-malware-graphiron","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/alerta-de-seguridad-por-descubrimiento-de-malware-graphiron\/","title":{"rendered":"Alerta de seguridad por descubrimiento de malware Graphiron<\/strong>"},"content":{"rendered":"\n

El panorama geopol\u00edtico, el aumento de ataques cada vez m\u00e1s sofisticados y la complejidad para gestionar la seguridad, han sido aprovechados por los ciberdelincuentes para continuar dise\u00f1ando malware y as\u00ed robar informaci\u00f3n e incluso pedir rescate por ella (ransomware).<\/p>\n\n\n\n

En ese ambiente, el Equipo de Inteligencia de Amenazas de Symantec, compa\u00f1\u00eda de Broadcom, detect\u00f3 Graphiron, nuevo malware de robo de informaci\u00f3n ruso desplegado contra Ucrania.<\/p>\n\n\n\n

El grupo Nodaria, vinculado a Rusia, ha desplegado una nueva amenaza dise\u00f1ada para robar una amplia gama de informaci\u00f3n de los computadores infectados.<\/p>\n\n\n\n

El grupo de espionaje Nodaria (tambi\u00e9n conocido como UAC-0056) est\u00e1 utilizando una nueva informaci\u00f3n para robar malware contra objetivos en Ucrania. El malware (Infostealer.Graphiron) est\u00e1 escrito en Go y est\u00e1 dise\u00f1ado para recolectar una amplia gama de informaci\u00f3n del computador infectado, incluida informaci\u00f3n del sistema, credenciales, capturas de pantalla y archivos.<\/p>\n\n\n\n

La evidencia m\u00e1s temprana de Graphiron data de octubre de 2022. Continu\u00f3 us\u00e1ndose hasta al menos mediados de enero de 2023 y es razonable suponer que sigue siendo parte del conjunto de herramientas de Nodaria.<\/p>\n\n\n\n

Dado que los ciberataques no tienen fronteras, eSoft LATAM<\/strong>,Partner VAD y el mejor Expert Advantage Partner, & Technical Enablement, Latin America de Broadcom Software,<\/strong> brinda esta informaci\u00f3n descubierta por Symantec, para ayudar a las empresas a prevenir este tipo de ataques.<\/p>\n\n\n\n

Modo de ataque<\/strong><\/p>\n\n\n\n

T\u00e9cnicamente, Graphiron es una amenaza de dos etapas que consta de un descargador (Downloader.Graphiron) y una carga \u00fatil (Infostealer.Graphiron).<\/p>\n\n\n\n

El descargador contiene direcciones de servidor de comando y control (C&C) codificadas. Cuando se ejecuta, se comparar\u00e1 con una lista negra de herramientas de an\u00e1lisis de malware al verificar los procesos en ejecuci\u00f3n con los nombres. Si no se encuentran procesos en la lista negra, se conectar\u00e1 a un servidor C&C y descargar\u00e1 y descifrar\u00e1 la carga \u00fatil antes de agregarla a la ejecuci\u00f3n autom\u00e1tica.<\/p>\n\n\n\n

El descargador est\u00e1 configurado para ejecutarse solo una vez. Si no puede descargar e instalar la carga \u00fatil, no har\u00e1 m\u00e1s intentos.<\/p>\n\n\n\n

Graphiron utiliza el cifrado AES con claves codificadas. Crea archivos temporales con las extensiones “.lock” y “.trash”. Utiliza nombres de archivos codificados dise\u00f1ados para hacerse pasar por ejecutables de Microsoft Office: OfficeTemplate.exe y MicrosoftOfficeDashboard.exe<\/p>\n\n\n\n

\u201cAnte este comportamiento, insistimos a las empresas siempre tener actualizado su sistema y contar con herramientas de an\u00e1lisis de malware para evitar ser v\u00edctimas de este tipo de ciberataques\u201d, coment\u00f3 Ricardo Dossantos, gerente de Ciberseguridad de eSoft LATAM<\/strong>. <\/p>\n\n\n\n

La segunda etapa de este malware opera como carga \u00fatil y es capaz de llevar a cabo las siguientes tareas:<\/p>\n\n\n\n