NUEVO MALWARE NOMBRADO NAPLISTENER

21/03/2023

BOLETÍN NRO 2023-188

Recientemente se ha detectado que el grupo de amenazas REF2924 ha estado utilizando un nuevo malware de robo de datos llamado Naplistener, diseñado para evadir la detección basada en la red. Este grupo utiliza activos de red legítimos y código fuente abierto para pasar desapercibido en sus ataques de robo de datos en Asia.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA Amenaza: Naplistener                                  Categoría: Malware Naplistener, que imita el comportamiento de los servidores web en una red, se instala como un servicio de Windows utilizando una convención de nomenclatura similar al binario legítimo utilizado por el Servicio de coordinador de transacciones distribuidas de Microsoft. Los investigadores han observado que REF2924 también utiliza otras nuevas familias de malware personalizado, como SiestaGraph y Somnirecord, entre otros, para enmascarar sus actividades. El malware personalizado de REF2924, incluido Naplistener, utiliza tecnologías de código abierto y activos de red familiares y legítimos para evadir la detección basada en la red. Los actores de amenazas tienen la intención de ocultarse en formas legítimas y esperadas de comunicación de red, instalándose para parecerse a los servicios subyacentes de los que abusan. Las empresas que dependen estrictamente de la detección basada en la red tendrán dificultades para identificar estas familias de malware, especialmente en el sur y sureste de Asia, donde las tecnologías de detección y prevención basadas en redes son el método de facto para asegurar muchos entornos. El enfoque único de REF2924 en la evasión de detección lo convierte en una amenaza particularmente peligrosa, ya que los actores de amenazas utilizan estas metodologías constantemente para el éxito de sus ataques. Las empresas pueden evitar el compromiso del grupo priorizando las tecnologías de detección basadas en puntos finales, como la detección y respuesta de puntos finales (EDR).

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Custom 'Naplistener' Malware a Nightmare for Network-Based Detection
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​