Por Francisco D’Agostino.<\/p>\n
El equipo de investigaci\u00f3n de ESET<\/b><\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 un nuevo grupo de ciberespionaje que ataca principalmente a hoteles de todo el mundo, pero tambi\u00e9n a gobiernos, organizaciones internacionales, empresas de ingenier\u00eda y bufetes de abogados.<\/p>\n El equipo de investigaci\u00f3n de ESET descubri\u00f3 que FamousSparrow aprovech\u00f3 las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon que ESET inform\u00f3 en marzo de 2021. Seg\u00fan la telemetr\u00eda de ESET, FamousSparrow comenz\u00f3 a explotar las vulnerabilidades al d\u00eda siguiente al lanzamiento de los parches. \u201cEste es otro recordatorio de que es fundamental aplicar parches a las aplicaciones de Internet r\u00e1pidamente o, si no es posible hacerlo r\u00e1pidamente, no exponerlas a Internet en absoluto\u201d, <\/i>aconseja Matthieu Faou, investigador de ESET que descubri\u00f3 FamousSparrow junto con su colega Tahseen Bin Taj.<\/p>\n Por Francisco D’Agostino.<\/p>\n El grupo ha estado activo desde al menos agosto de 2019 y ha estado dirigiendo sus ataques principalmente a hoteles en varios pa\u00edses. Adem\u00e1s, se observadaron algunas v\u00edctimas de otros sectores, como organismos gubernamentales, organizaciones internacionales, empresas de ingenier\u00eda y bufetes de abogados. Los pa\u00edses en los que ESET observ\u00f3 v\u00edctimas son los siguientes: Brasil<\/b>, Burkina Faso, Sud\u00e1frica, Canad\u00e1, Israel, Francia, Guatemala<\/b>, Lituania, Arabia Saudita, Taiw\u00e1n, Tailandia y Reino Unido.<\/p>\n Seg\u00fan dijo Matthieu, \u201clos hoteles son un blanco de ataque atractivo porque les permite a los atacantes obtener informaci\u00f3n de los clientes y sus h\u00e1bitos de viaje, y adem\u00e1s, potencialmente les da la posibilidad de la infraestructura de Wi-Fi para espiar en el tr\u00e1fico de redes sin cifrado<\/i>\u201d.<\/p>\n El grupo tiene un historial aprovechando vulnerabilidades conocidas en aplicaciones de servidor como SharePoint y Oracle Opera. Las v\u00edctimas, que incluyen a gobiernos de todo el mundo, sugieren que la intenci\u00f3n de FamousSparrow es el espionaje. ESET destaca algunos v\u00ednculos SparklingGoblin y DRBControl, pero no considera que los grupos sean lo mismo.<\/p>\n Por Francisco D’Agostino.<\/p>\n \u201cFamousSparrow es actualmente el \u00fanico usuario de backdoor personalizada que descubrimos en la investigaci\u00f3n y que llamamos SparrowDoor. El grupo tambi\u00e9n usa dos versiones personalizadas de Mimikatz. La presencia de cualquiera de estas herramientas maliciosas personalizadas podr\u00eda usarse para vincular incidentes con FamousSparrow<\/i> \u201d, explica el investigador de ESET Tahseen Bin Taj.<\/p>\n Aunque el grupo de investigaci\u00f3n de ESET considera que FamousSparrow es una entidad independiente, existen algunas conexiones con otros grupos APT conocidos. En un caso, los atacantes desplegaron una variante de Motnug, que es un loader utilizado por\u00a0SparklingGoblin<\/a>. En otro caso, se encontr\u00f3 en una m\u00e1quina comprometida por FamousSparrow un Metasploit en ejecuci\u00f3n utilizando\u00a0cdn.kkxx888666[.]com\u00a0como su servidor C&C (comando y control). Este dominio est\u00e1 relacionado con un grupo conocido como\u00a0DRBControl<\/a>.<\/p>\n Para obtener m\u00e1s detalles t\u00e9cnicos sobre FamousSparrow, ingrese a \u00ab<\/b>FamousSparrow: Un hu\u00e9sped sospechoso del hotel<\/b><\/a>\u00ab<\/b> en WeLiveSecurity, nuestro portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2021\/09\/27\/famoussparrow-grupo-cibercriminales-apunta-hoteles\/<\/a><\/p>\n Por otro lado, ESET<\/a> invita a conocer Conexi\u00f3n Segura<\/b><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a:<\/p>\n