Utilizando la telemetría de la solución Cisco Secure Endpoint, Cisco Talos, la unidad de inteligencia en seguridad de Cisco, descubrió una nueva versión del troyano Neurevt con capacidades de spyware y backdoor en junio de 2021. Esta versión de Neurevt busca principalmente enfocarse en los usuarios de instituciones financieras mexicanas.
¿Qué es lo nuevo?
Aunque Neurevt ha existido por un tiempo, análisis recientes en Cisco Secure Endpoint muestran que los actores combinaron este troyano con capacidad de spyware y backdoors. Esta versión de Neurevt mostró múltiples funcionalidades; lo que el troyano hace, después de instalarse, es básicamente robar el nombre de usuario y password utilizados en los sitios financieros a loa que accede y puede también enfocarse en otro tipo de información que contenga. Por ello los usuarios de la banca en línea en México deben ser cautelosos cuando utilizan su computadora, acceden a su correo electrónico y abren documentos adjuntos. Adicionalmente, es indispensable estar alerta al visitar sitios que no conozca, ya que pueden ser potencialmente peligrosos.
Asimismo, es importante que las organizaciones y también los usuarios tengan sus sistemas actualizados con los últimos parches de seguridad para los sistemas operativos y las aplicaciones, incluyendo los motores de análisis de antimalware. Pasar por alto las actualizaciones representa un riesgo para el usuario pues en realidad éstas le ayudan en el proceso de protección de su información.
Entre otras medidas se recomienda a los usuarios:
● Asegurarse que tienen actualizados sus sistemas incluyendo el escaneo de antimalware, sistemas operativos y aplicaciones.
● Deshabilitar la ejecución automática de scripts del navegador.
● Evitar accesar a sitios web que descargan sus contenidos en el sistema de archivos de la computadora, éstos pueden estar infectados e instalarse en el equipo sin percatarnos.
● Se recomienda habilitar la autenticación multifactor para incrementar el nivel de seguridad
Con el fin de mitigar el riesgo de infección y robo de datos, las organizaciones y sus responsables de ciberseguridad, pueden tomar medidas proactivas como son el restringir el acceso de los usuarios a sitios web sospechosos y detener la descarga de contenidos maliciosos. Cabe destacar que Talos fomenta la implementación del control de acceso basado en roles para el uso de herramientas administradas de Windows, la política de ejecución de PowerShell y el bloqueo de direcciones IP, dominios y tráfico de red sospechosos de C2 (Command and Control).
Entre las soluciones de Cisco que pueden proteger a los usuarios de la descarga de este malware, protegiendo sus cuentas bancarias en línea de posibles robos son:
● Cisco Secure Endpoint, que previene la ejecución de malware
● Dispositivos de Cisco Secure Firewall como Threat Defense Virtual Adaptive Security Appliances y Meraki Mx los cuales pueden detectar actividad maliciosa.
● Cisco Secure Malware Analytics
● Cisco Umbrella, que bloquea el acceso de los usuarios a dominios maliciosos, IPs y URLS, ya sea que estén dentro o fuera de la red corporativa.
Yair Lelis, Director de Seguridad Cisco México
