{"id":23625,"date":"2021-12-20T12:25:00","date_gmt":"2021-12-20T18:25:00","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23625"},"modified":"2021-12-20T12:25:00","modified_gmt":"2021-12-20T18:25:00","slug":"pseudomanuscrypt-industrial-malware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/","title":{"rendered":"El ataque no est\u00e1ndar de PseudoManuscrypt"},"content":{"rendered":"<p>En junio de 2021, nuestros especialistas descubrieron un <em>malware<\/em> nuevo llamado PseudoManuscrypt. Los m\u00e9todos de PseudoManuscrypt son bastante comunes para un <em>spyware<\/em>. Funciona como registrador de pulsaciones de teclas, recopila informaci\u00f3n sobre conexiones VPN establecidas y guarda contrase\u00f1as, roba contenidos del portapapeles, registra sonido con el micr\u00f3fono integrado (si la computadora tiene uno), y captura im\u00e1genes. Una variante tambi\u00e9n puede robar las credenciales de los servicios de mensajer\u00eda QQ y WeChat, capturar la pantalla en video y tiene una funci\u00f3n que intenta deshabilitar las soluciones de seguridad. Despu\u00e9s env\u00eda los datos al servidor de los atacantes.<\/p>\n<p>Puedes consultar <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\/\" target=\"_blank\" rel=\"noopener\">nuestro informe de ICS CERT<\/a> para conocer los detalles t\u00e9cnicos del ataque y los indicadores de compromiso.<\/p>\n<h2>Origen del nombre<\/h2>\n<p>Nuestros expertos encontraron algunas similitudes entre el ataque nuevo y la campa\u00f1a ya conocida <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2021\/02\/25\/lazarus-targets-defense-industry-with-threatneedle\/\" target=\"_blank\" rel=\"noopener\">Manuscrypt<\/a>, pero el an\u00e1lisis revel\u00f3 que un actor completamente diferente, el grupo APT41, hab\u00eda utilizado antes parte del c\u00f3digo del <em>malware<\/em> en sus ataques. A\u00fan tenemos que determinar la responsabilidad del ataque nuevo, y por ahora lo llamamos PseudoManuscrypt.<\/p>\n<h2>C\u00f3mo PseudoManuscrypt infecta el sistema<\/h2>\n<p>Una infecci\u00f3n exitosa yace en un cadena compleja de eventos. El ataque a una computadora por lo general comienza cuando el usuario descarga y ejecuta un <em>malware<\/em> que imita el paquete de instalaci\u00f3n pirata de un software popular.<\/p>\n<p>Puedes encontrar el se\u00f1uelo de PseudoManuscrypt si buscas un software pirata en el Internet. Los sitios web que distribuyen c\u00f3digo malicioso que coincide con b\u00fasquedas populares est\u00e1n en los primeros lugares en los resultados de los motores de b\u00fasqueda, una m\u00e9trica que parece que los atacantes vigilan.<\/p>\n<p>Aqu\u00ed se puede ver claramente por qu\u00e9 ha habido tantos intentos de infectar los sistemas industriales. Adem\u00e1s de proporcionar <em>malware<\/em> que se hace pasar por software popular (como paquetes de oficina, soluciones de seguridad, sistemas de navegaci\u00f3n y <em>shooters<\/em> 3D en primera persona), los atacantes tambi\u00e9n ofrecen paquetes de instalaci\u00f3n falsos para software profesional, que incluye ciertas herramientas para interactuar con controladores l\u00f3gicos programables (PLC) utilizando ModBus. El resultado: una cantidad anormalmente alta de computadoras del sistema de control industrial (ICS) infectadas (7.2% del total).<\/p>\n<div id=\"attachment_23630\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23630\" class=\"wp-image-23630 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2021\/12\/20112726\/pseudomanuscrypt-industrial-malware-search-results-1024x838.png\" alt='Resultados de b\u00fasqueda para software pirata. PseudoManuscrypt se encuentra justo en el primer enlace. &lt;a href=\"https:\/\/ics-cert.kaspersky.ru\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\/\" target=\"_blank\"&gt;Fuente&lt;\/a&gt;.' width=\"1024\" height=\"838\"><p id=\"caption-attachment-23630\" class=\"wp-caption-text\">Resultados de b\u00fasqueda para software pirata. PseudoManuscrypt se encuentra justo en el primer enlace. <a href=\"https:\/\/ics-cert.kaspersky.ru\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\/\" target=\"_blank\" rel=\"noopener\">Fuente<\/a>.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>En el ejemplo de la captura de pantalla anterior hay un software para administradores de sistemas e ingenieros de red. En teor\u00eda, este vector de ataque podr\u00eda proporcionar a los atacantes acceso total a la infraestructura de la empresa.<\/p>\n<p>Los atacantes tambi\u00e9n utilizan una mecanismo de entrega de tipo <em>Malware-as-a-Service<\/em> (MaaS), mediante el cual pagan a otros cibercriminales para distribuir PseudoManuscrypt. Esta pr\u00e1ctica da lugar a una funci\u00f3n interesante que nuestros expertos encontraron cuando analizaban la plataforma MaaS: Algunas veces PseudoManuscrypt se agrupaba con otro <em>malware<\/em> que la v\u00edctima instalaba como un paquete \u00fanico. El prop\u00f3sito de PseudoManuscrypt es espiar, pero otros programas maliciosos tienen otros objetivos, como el cifrado de datos para extorsionar por dinero.<\/p>\n<h2>\u00bfA qui\u00e9n est\u00e1 dirigido PseudoManuscrypt?<\/h2>\n<p>La mayor cantidad de detecciones de PseudoManuscrypt ocurrieron en Rusia, India, Brasil, Vietnam e Indonesia. De la gran cantidad de intentos de ejecutar el c\u00f3digo malicioso, los usuarios en las organizaciones industriales componen una buena parte. Las v\u00edctimas en este sector incluyen gerentes de sistemas de automatizaci\u00f3n de edificios, empresas energ\u00e9ticas, fabricantes, empresas de construcci\u00f3n e incluso proveedores de servicios para plantas de tratamiento de aguas. Adem\u00e1s, una cantidad inusualmente alta de computadoras afectadas estuvieron involucradas en los procesos de ingenier\u00eda, y en la producci\u00f3n de productos nuevos en empresas industriales.<\/p>\n<h2>M\u00e9todos de defensa contra PseudoManuscrypt<\/h2>\n<p>Para protegerte contra PseudoManuscrypt debes contar con soluciones de protecci\u00f3n que sean confiables y se actualicen con regularidad, y deben instalarse en el 100% de los sistemas de una empresa. Asimismo, recomendamos implementar pol\u00edticas que dificulten deshabilitar la protecci\u00f3n.<\/p>\n<p>Para los sistemas inform\u00e1ticos en la industria, tambi\u00e9n ofrecemos una soluci\u00f3n especializada, <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/industrial?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Industrial CyberSecurit<\/a>, la cual protege las computadoras (incluidas las especializadas) y monitorea las transferencias de datos que utilizan protocolos espec\u00edficos.<\/p>\n<p>Tambi\u00e9n ten en cuenta la importancia de concienciar al personal sobre los riesgos de ciberseguridad. No puedes descartar por completo la posibilidad de ataques de <em>phishing<\/em> ingeniosos, pero puedes ayudar a tu personal a estar alerta, y tambi\u00e9n educarlos sobre el peligro de instalar software no autorizado (y especialmente el pirata) en computadoras con acceso a los sistemas industriales.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Un ciberataque afecta a una gran cantidad inesperada de sistemas de control industrial.<\/p>\n","protected":false},"author":665,"featured_media":23627,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[2984,5599,1254],"class_list":{"0":"post-23625","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ciberseguridad-industrial","10":"tag-sistemas-industriales","11":"tag-spyware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pseudomanuscrypt-industrial-malware\/23759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/19258\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/25977\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pseudomanuscrypt-industrial-malware\/23955\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pseudomanuscrypt-industrial-malware\/32108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pseudomanuscrypt-industrial-malware\/10384\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/43177\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/pseudomanuscrypt-industrial-malware\/15630\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pseudomanuscrypt-industrial-malware\/32236\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pseudomanuscrypt-industrial-malware\/27948\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pseudomanuscrypt-industrial-malware\/24697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pseudomanuscrypt-industrial-malware\/30119\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pseudomanuscrypt-industrial-malware\/29910\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ciberseguridad-industrial\/","name":"ciberseguridad industrial"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23625"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23625\/revisions"}],"predecessor-version":[{"id":23638,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23625\/revisions\/23638"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/23627"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}