Detectan ataque de malware a empresas por medio de las cuentas de email

Durante los últimos días se ha detectado un tipo de ataque que llega vía e-mail de una aparente fuente de confianza, muchas veces utiliza cuentas de correo de personal que ya no labora en las organizaciones. Este e-mail tiene un adjunto de una supuesta factura con extensión “.doc”.

Dicho archivo contiene malware, el cual que puede comprometer la seguridad de tu información.

Se hicieron pruebas  en un entorno  protegido para evaluar el comportamiento de dicho archivo y apoyándonos de la herramienta de Firewall Palo Alto Networks para la inspección por medio de su sandbox WildFire se observó lo siguiente:

• El archivo incluye una macro que se ejecuta una vez abierto.
• Modifica la configuración de seguridad del host y del navegador con el fin de desviar el tráfico  hacia un servidor proxy.
• Modifica registros y genera ejecutables en las carpetas de archivos temporales de Windows.
• Se ancla como un servicio al inicio de Windows.
• Genera consultas de DNS sobre puertos no estándar.
• Realiza conexiones remotas hacia sitios maliciosos para descargar más malware y recibir instrucciones.

Sugerimos las siguientes recomendaciones para reducir la superficie de ataque:

1. Tener al día las actualizaciones de tus sistemas operativos.
2. Limitar los permisos de cuenta para los usuarios.
3. Contar con una solución de endpoint de siguiente generación, que pueda detectar malware por comportamiento.
4. Utilizar puertos seguros para el correo POPS o SMTPS (995 y 465).
5. Eliminar el uso de puertos inseguros POP3 y SMTP (110 y 25 o 26)
6. Cambiar las contraseñas de todas las cuentas de correo.
7. Utilizar contraseñas complejas de al menos 8 caracteres con mayúsculas, minúsculas, letras, números y caracteres especiales tales como: “&, $, y >.”
8. Protección de Endpoint en dispositivos móviles.
9. Utilizar SSL Deep Inspection en tráfico de correo.
10. Protección a nivel perimetral.
11. Firewall debidamente configurado con módulos de seguridad activados en políticas hacia Internet en específico para la inspección de puertos de correo, habilitando: Intrusion Prevension System y Antivirus.
12. Orientar y alertar a los usuarios finales sobre este y otros tipos de ataques, haciendo conciencia sobre no abrir adjuntos de correos no solicitados o de personal que ya no labore en las oficinas, incluso de clientes.

Si tienes alguna duda sobre cómo seguir estas recomendaciones, te sugerimos contactar a nuestro personal de ingeniería, para que en conjunto puedan apoyarte en desarrollar una mejor estrategia de ciberseguridad.