Seguridad

Descubierta la identidad de los grupos de malware Bignosa y Gods que actuaban contra empresas de USA y Australia

Publicado 04 Abr 2024

Check Point Research, la división de inteligencia de amenazas de Check Point® Software Technologies Ltd., líder en soluciones de ciberseguridad basadas en inteligencia artificial en la nube, ha identificado tres campañas dañinas del conocido malware Agent Tesla. Estas campañas, que apuntaban a compañías en Estados Unidos y Australia, se valían de la premisa de transacciones comerciales y entrega de pedidos para engañar a sus víctimas.

El análisis desveló que los atacantes disponían de una extensa base de datos con 62,000 direcciones de correo electrónico, abarcando tanto a individuos como a empresas de distintos sectores. A pesar de contar con una vasta red de servidores para ocultar su identidad, Check Point Research ha logrado desenmascarar a los responsables de estas operaciones y ha seguido sus pasos detenidamente.

Agent Tesla se especializa en el robo de información sensible a través de técnicas avanzadas de acceso remoto (RAT), capaces de registrar pulsaciones de teclado y obtener credenciales de sitios web y cuentas de email. Este malware se ha mantenido entre las diez familias de malware más predominantes desde el año 2020.

“Bignosa” y “Gods” o dos atacantes con un mismo fin

La investigación ha rastreado a dos grupos vinculados con las actividades de Agent Tesla:

- “Bignosa” parece liderar un colectivo enfocado en campañas de malware y phishing dirigidas tanto a empresas como a usuarios individuales en Estados Unidos y Australia. Lo hacían usando Cassandra Protector para evadir detecciones y aplicando varias familias de malware en sus ataques.

- “Gods”, también conocido como "Kmarshal", ha sido parte de esfuerzos de phishing y campañas de malware anteriores, demostrando habilidades en diseño web y phishing.

Las campañas de malware fueron cuidadosamente planificadas

En vez de depender de correos electrónicos de phishing genéricos, estas campañas emplearon mensajes específicos sobre compras y entregas para propagar la infección. El malware estaba camuflado con Cassandra Protector para añadir una capa extra de ocultamiento y dificultar su detección.

¿Cómo mantenerse atentos para minimizar estos peligros?

- Actualizar sistemas y aplicaciones regularmente.
- Ejercer precaución con correos electrónicos inesperados que contengan enlaces, especialmente si proceden de fuentes desconocidas.
- Fomentar la educación en ciberseguridad entre los empleados.
- Buscar asesoramiento de expertos en seguridad ante cualquier signo de amenaza.

NOMBRE DECOOKIE	TIPO DE COOKIE	FINALIDAD	EXPIRA	PROVEEDOR
mayorista_cookies	TECNICA	Almacena la aceptación por parte del Usuario de la política de cookies.	6 MESES.	Mayorista
Sesión tiendab2c_cliente	TECNICA	Almacena el ID de cliente registrado	Al cerrar el navegador o 20 minutos sin actividad del usuario	Mayorista

NOMBRE DECOOKIE	TIPO DE COOKIE	FINALIDAD	EXPIRA	PROVEEDOR
_ga	DE ANALISIS	Se utiliza para distinguir a los Usuarios únicos mediante la asignación de un número generado aleatoriamente como un identificador de cliente. Se incluye en cada solicitud de página en un sitio y se utiliza para calcular los datos de visitantes, sesiones y campañas de los informes de análisis de sitios.	2 AÑOS.	GOOGLE, LLC.
_gid	DE ANALISIS	Se utiliza para distinguir a los Usuarios.	1 DIA.	GOOGLE, LLC.
_gat	DE ANALISIS	Se utiliza para limitar la velocidad de petición, la limitación de la recogida de datos en los sitios de alto tráfico.	10 MINUTOS.	GOOGLE, LLC.
_gac_ :	DE ANALISIS	Incluye información de la campaña relativa al Usuario. Si se han vinculado las cuentas de Google Analytics y AdWords, las etiquetas de conversión de sitios web leerán esta cookie a menos que se inhabilite.	90 DÍAS.	GOOGLE, LLC.
_utma	DE ANALISIS	Registra la fecha de la primera y última vez que el Usuario vistió el sitio web.	2 AÑOS.	GOOGLE, LLC.
_utmb	DE ANALISIS	Registra la hora de llegada a la página web.	30 MINUTOS.	GOOGLE, LLC.
_utmc	DE ANALISIS	Se utiliza para la interoperabilidad con el código de seguimiento urchin.js.	AL CERRAR LA SESIÓN.	GOOGLE, LLC.
_utmt	DE ANALISIS	Se utiliza para procesar el tipo de solicitud pedida por el Usuario.	AL CERRAR LA SESIÓN.	GOOGLE, LLC.
_utmv	DE ANALISIS	Se utiliza para segmentar datos demográficos.	AL CERRAR LA SESIÓN.	GOOGLE, LLC.
_utmz	DE ANALISIS	Almacena la fuente de tráfico o una campaña para explicar cómo el Usuario llegó al sitio web.	6 MESES.	GOOGLE, LLC.
NID	DE ANALISIS	Se utiliza para visualizar los mapas mediante Google Maps.	6 MESES	GOOGLE, LLC.
DSID / IDE	DE ANALISIS	Se utiliza para estadisticas	4 MESES	doubleclick.net
usida / sb/ datr	DE ANALISIS	Se utiliza para el pixel de Facebook.	24 MESES	Facebook

Descubierta la identidad de los grupos de malware Bignosa y Gods que actuaban contra empresas de USA y Australia

Mayoristas Recomendados

Otros mayoristas de Check Point

Otros mayoristas de Gestión de identidades

Otros mayoristas de Gestión de vulnerabilidades

Otros mayoristas de Protección continua de los datos