{"id":14003,"date":"2024-06-24T11:09:47","date_gmt":"2024-06-24T16:09:47","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=14003"},"modified":"2024-06-24T11:10:02","modified_gmt":"2024-06-24T16:10:02","slug":"diez-anos-despues-vuelven-los-ciberataques-de-careto-con-nuevas-tecnicas-maliciosas","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/diez-anos-despues-vuelven-los-ciberataques-de-careto-con-nuevas-tecnicas-maliciosas\/","title":{"rendered":"Diez a\u00f1os despu\u00e9s, vuelven los ciberataques de Careto con nuevas t\u00e9cnicas maliciosas"},"content":{"rendered":"\n

Los analistas de Kaspersky han descubierto dos nuevas campa\u00f1as maliciosas llevadas a cabo por el conocido grupo Careto, una amenaza persistente avanzada (APT) que hab\u00eda aparecido por \u00faltima vez en 2013.<\/a> Demostrando un alto nivel de sofisticaci\u00f3n, los actores llevaron a cabo dos complejas campa\u00f1as de ciberespionaje utilizando una estructura multimodal que permite la grabaci\u00f3n de la entrada del micr\u00f3fono, el robo de una amplia gama de archivos y datos, as\u00ed como la obtenci\u00f3n del control general de un dispositivo infectado. Las campa\u00f1as se dirigieron a organizaciones de Am\u00e9rica Latina y \u00c1frica Central.  <\/p>\n\n\n\n

Careto, un grupo de amenazas persistentes avanzadas (APT), es conocido por sus sofisticados ataques a organizaciones gubernamentales, entidades diplom\u00e1ticas, empresas de energ\u00eda e instituciones de investigaci\u00f3n. La actividad de este grupo se registr\u00f3 entre 2007 y 2013, y desde entonces ha permanecido en silencio. Sin embargo, el \u00faltimo informe trimestral de Kaspersky sobre tendencias APT<\/a> revela detalles sobre las recientes campa\u00f1as maliciosas llevadas a cabo por el grupo Careto, que indican el regreso de su actividad cibercriminal.<\/p>\n\n\n\n

El vector de infecci\u00f3n inicial comprometido fue el servidor de correo electr\u00f3nico de la organizaci\u00f3n, que utilizaba el software MDaemon<\/strong>. Este servidor estaba infectado con un backdoor independiente, que daba al atacante el control total de la red. Para propagarse por la red interna, el grupo aprovech\u00f3 una vulnerabilidad no identificada en una soluci\u00f3n de seguridad, lo que permiti\u00f3 distribuir implantes maliciosos en varios equipos. El atacante despleg\u00f3 cuatro implantes sofisticados y multimodelos, dise\u00f1ados por profesionales especializados para maximizar su impacto.<\/p>\n\n\n\n

Este malware multimodal incluye funciones como grabaci\u00f3n de micr\u00f3fonos y robo de archivos<\/strong>, con el objetivo de recopilar informaci\u00f3n del sistema, nombres de usuario, contrase\u00f1as, rutas de directorios locales y m\u00e1s. Los operadores mostraron un inter\u00e9s particular en documentos confidenciales de la organizaci\u00f3n, cookies, historiales de formularios y datos de inicio de sesi\u00f3n de navegadores como Edge, Chrome, Firefox y Opera, as\u00ed como cookies de apps de mensajer\u00eda como Threema, WeChat y WhatsApp.<\/p>\n\n\n\n

Seg\u00fan Kaspersky, las v\u00edctimas objetivo de los implantes de Careto en este \u00faltimo ataque pertenecen a una organizaci\u00f3n ubicada en Am\u00e9rica Latina<\/strong>, la cual ya hab\u00eda sido comprometida en ataques anteriores en 2022, 2019 y hace 10 a\u00f1os, y una organizaci\u00f3n en \u00c1frica Central.<\/p>\n\n\n\n

\u201cA lo largo de los a\u00f1os, Careto ha ido desarrollando malware que demuestra un nivel de complejidad notablemente alto. Los implantes reci\u00e9n descubiertos son estructuras multimodales, con t\u00e1cticas y t\u00e9cnicas de implementaci\u00f3n \u00fanicas y sofisticadas. Su presencia indica la naturaleza avanzada de las operaciones de Careto. Seguiremos vigilando de cerca las actividades de este actor de amenazas, ya que esperamos que el malware descubierto se utilice en futuros ataques llevados a cabo por el grupo Careto”<\/em>, afirma Georgy Kucherin, investigador de seguridad del GReAT de Kaspersky<\/strong>.<\/p>\n\n\n\n

Para evitar ser v\u00edctima de un ataque dirigido, los analistas de Kaspersky recomiendan:<\/p>\n\n\n\n