Hemos detectado una estafa de phishing que ya ha robado 1 millón de datos; aprenda a protegerse
Estafa de phishing

Hemos detectado una estafa de phishing que ya ha robado 1 millón de datos; aprenda a protegerse

El equipo de inteligencia de amenazas de ISH Tecnologia detectó la filtración de casi 1 millón de contraseñas, recogidas en una estafa de spear phishing. El vector de infección inicial es un falso correo electrónico de facturación de los principales operadores brasileños. Al acceder al contenido del correo, la víctima es dirigida a un PDF malicioso, que instala un troyano destinado a robar contraseñas. El ejecutable inyecta código en procesos de navegadores comunes, como Opera, Firefox, Google Chrome y Microsoft Edge. A continuación, unos ganchos en dll importantes del navegador de destino redirigen el procesador a la rutina maliciosa.

Gancho
Figura 1: gancho

Evolución

El troyano adquiere los nombres de usuario y contraseñas guardados en los navegadores objetivo, formatea los datos y los inserta en un archivo de texto para su exfiltración. Estos datos se reenvían a un servidor de mando y control (C2), donde se concentran en una lista con credenciales obtenidas de otras máquinas infectadas.

Figura 2: Grabación en memoria

Debido a la cantidad de correos electrónicos enviados y al hecho de que los atacantes suplantan la identidad de varios proveedores de servicios de ámbito nacional, esta lista concentra un gran número de credenciales tanto de cuentas privadas como corporativas.

Aunque se recomienda el uso de versiones más actualizadas del navegador, es importante señalar que este ataque no depende de la versión del navegador utilizada, ya que no se trata de un exploit sino de una inyección de shellcode en un proceso legítimo.

Como forma de evitar este tipo de ataques, instruya a su equipo para que no utilice el correo corporativo para darse de alta en servicios de cualquier naturaleza. Los mensajes inesperados en el buzón corporativo deben ser ignorados, con especial cuidado con aquellos que traigan enlaces en el cuerpo del texto.

Figura 3: ejemplo de correo electrónico malicioso utilizado por el troyano

Formas de mitigar el ataque

Sensibilización; guiar al equipo

Instruya también a sus empleados para que no guarden credenciales en los navegadores, ya que son fácilmente accesibles mediante diversas técnicas maliciosas. Como acción complementaria, puede desactivar por completo la opción de guardar contraseñas para Chrome, Firefox e Internet Explorer mediante GPO.

Desactivar los gestores de contraseñas de Chrome, Edge, Firefox, IE a través de GPO

Una buena medida de seguridad es deshabilitar el almacenamiento de contraseñas utilizado por los navegadores web. A continuación presentamos un ejemplo de cómo implementar una política de grupo (GPO) que deshabilite el gestor de contraseñas nativo de los navegadores que se muestran a continuación. Esto evita que las contraseñas corporativas se guarden en los navegadores, así como que se sincronicen con las cuentas personales y estén disponibles fuera de la corporación.

A continuación presentamos ejemplos de aplicación para los navegadores. Recordando que la recomendación debe ser adaptada a la realidad de la institución por un especialista de Microsoft:

  • Borde
  • Internet Explorer (IE)
  • Cromo
  • Firefox

¿Cómo desactivar el gestor de contraseñas nativo en Edge mediante GPO?

Sigue estos pasos:

1. Inicie sesión en un servidor Windows y abra el Editor de directivas de grupo;

2. Descargue las plantillas de políticas Edge si aún no lo ha hecho;

3. En el Editor de directivas de grupo, cree un nuevo GPO para Edge - Desactivar PWM;

4. Seleccione el alcance deseado;

5. Haga clic con el botón derecho en el nuevo objeto de directiva de grupo > Editar;

6. En el Editor de administración de directivas de grupo, vaya a Configuración de usuario > Directivas > Plantillas administrativas > Microsoft Edge;

7. Defina las siguientes políticas:

  • Desactive la política Activar autorrelleno para direcciones;
  • Desactive la política Activar autorrelleno para tarjetas de crédito;
  • En "Gestor y protección de contraseñas", desactive la directiva Permitir guardar contraseñas en el gestor de contraseñas;
  • Opcionalmente, puede activar la directiva Desactivar sincronización de datos mediante servicios de sincronización de Microsoft.

8. Una vez completado, la configuración del GPO tendrá el siguiente aspecto:

9. Asegúrese de que el enlace GPO está activado.

Probar la funcionalidad

En el ordenador del usuario, abra un símbolo del sistema y escriba gpupdate /force , que le pedirá que cierre la sesión para completar la nueva configuración. A continuación, abra Edge y haga clic en los tres puntos de configuración ...> Configuración > Contraseñas . Asegúrate de que la opción "Ofrecer guardar contraseñas" está desactivada y gestionada por la organización.

Ten en cuenta que la opción "Iniciar sesión automáticamente" sigue marcada porque, en el momento de redactar esta guía, no existía ninguna configuración de directiva para desactivarla.

Importante: Ten en cuenta que las contraseñas guardadas previamente en Edge no se eliminarán y seguirán mostrándose al usuario, incluso con el autorrelleno de Edge desactivado.

¿Cómo desactivar el gestor de contraseñas nativo en Internet Explorer (IE) mediante GPO?

1. Inicie sesión en un servidor Windows y abra el Editor de directivas de grupo;

2. Crear un nuevo GPO llamado "IE - Desactivar PWM";

3. Elija el ámbito deseado;

4. Haga clic con el botón derecho en el nuevo objeto de directiva de grupo > Editar;

5. En el Editor de administración de directivas de grupo, vaya a Configuración de usuario > Directivas > Plantillas administrativas > Componentes de Windows > Internet Explorer;

6. Defina los siguientes modelos de política:

  • Active la directiva Desactivar autorrelleno para formularios;
  • Desactivar la directiva Activar la función de autocompletar para nombres de usuario y contraseñas en formularios.

7. Una vez completada, la configuración del GPO tendrá el siguiente aspecto:

8. Asegúrese de que el enlace GPO está activado.

Probar la funcionalidad

En el ordenador del usuario, abra un símbolo del sistema y escriba gpupdate /force , que le pedirá que cierre la sesión para completar la nueva configuración. Abra Internet Explorer y haga clic en el icono de engranaje > Opciones de Internet > ficha Contenido > Configuración de autorrelleno. Asegúrese de que la configuración de la contraseña está atenuada.

¿Cómo desactivar el gestor de contraseñas nativo en Chrome mediante GPO?

1. Descargue las plantillas administrativas de Google Chrome aquí;

2. Copie el archivo ADMX:
DE la carpeta descargada 'policy_templates \ windows \ admx \ chrome.admx & google.admx
EN C: Windows \ PolicyDefinitions

3. Copie el archivo ADML:
DE'policy_templates \ windows \ admx \ en-us \ chrome.adml & google.adml
EN C: Windows \ PolicyDefinitions \ en-us

4. En un servidor Windows, abra el Editor de directivas de grupo;

5. Crear un nuevo GPO llamado "Chrome - Desactivar PWM";

6. Seleccione el ámbito deseado;

7. Haga clic con el botón derecho en Objeto de directiva de grupo > Editar;

8. Vaya a Configuración de usuario > Políticas > Plantillas administrativas > Google > Google Chrome;

9. Edite los siguientes ajustes:

  • Active la directiva de configuración de inicio de sesión del navegador, haga clic en Opciones y seleccione Desactivar inicio de sesión del navegador;
  • Desactive la directiva Activar autocompletar para direcciones;
  • Desactive la política Activar autorrelleno para tarjetas de crédito;
  • En "Gestor de contraseñas", desactive la directiva Permitir guardar contraseñas en el gestor de contraseñas;

10. Una vez completado, la configuración de GPO se verá así:

11. Asegúrese de que el enlace GPO está activado.

Probar la funcionalidad

En el ordenador del usuario, abra un símbolo del sistema y escriba gpupdate /force , que le pedirá que cierre la sesión para completar la nueva configuración. Abra Chrome y haga clic en el icono de perfil de la esquina superior derecha. Compruebe si el usuario no ha iniciado sesión.

Abre Chrome, haz clic en los tres puntos .. . > Configuración > Contraseñas. Asegúrate de que la oferta de guardar contr aseñas está desmarcada y gestionada por la organización.

Cómo desactivar el gestor de contraseñas nativo en Firefox mediante GPO

1. Inicie sesión en un servidor Windows que utilice para administrar sus directivas de grupo;

2. Descargue el último archivo .zip de plantillas de políticas de Firefox aquí;

3. Copie el archivo ADMX :
DE la carpeta descargada 'policy_templates_v1 ## \ windows \ firefox.admx & mozilla.admx.
TO C: \ Windows \ PolicyDefinitions

4. Copie el archivo ADML:
DE'policy_templates \ windows \ en-us \ firefox.adml & mozilla.adml
EN C: Windows \ PolicyDefinitions \ en-us

5. Abra el Editor de directivas de grupo;

6. Crear un nuevo GPO llamado "Firefox - Desactivar PWM";

7. Seleccione el ámbito deseado;

8. Haga clic con el botón derecho en la nueva directiva de grupo > Editar;

9. Abra Configuración de Usuario > Políticas > Plantillas Administrativas > Mozilla > Firefox;

10. Edite las siguientes políticas:

  • Desactivar la política Desactivar cuentas de Firefox
  • Desactivar la política Ofrecer guardar inicios de sesión
  • Desactivar la política Ofrecer guardar inicios de sesión (por defecto)
  • Desactivar la política del Administrador de contraseñas

11. Una vez completada, la configuración del GPO tendrá el siguiente aspecto:

12. Asegúrese de que el enlace GPO está activado.

Probar la funcionalidad

Inicie sesión como un usuario que forma parte del ámbito, abra la línea de comandos y ejecute gpupdate / force. Abre Firefox y seleccione Inicio de sesión y contraseñas en la barra de menús.

Asegúrese de que aparece el mensaje "Página bloqueada".

Recomendaciones finales

Por último, vigile los dominios y direcciones IP sospechosos en los registros de herramientas como Firewall y Web Filter, ya que este ataque utiliza procesos legítimos para llegar al servidor de comandos(command & control), no basta con inspeccionar únicamente el tráfico de las aplicaciones que considere sospechosas.

Las políticas de uso consciente de los activos corporativos, así como la monitorización del uso de los recursos corporativos y el mantenimiento de referencias a estas acciones en la Política de Seguridad de la Información son formas con amplia eficacia en casos similares a éste.

Limitar el acceso administrativo únicamente a equipos especializados debería ser una práctica habitual para los administradores de red y los equipos de ciberseguridad.

La implementación de solucionesde Análisis del Comportamiento deUsuarios y Entidades (UEBA) puede completar sus soluciones de seguridad con importantes resultados, analizando comportamientos anómalos en su entorno.

Por André Phanebecker, Alexandre Siviero y Paulo Trindade

Tags: , , , , , FUGAS DE ,
Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.