AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nueva familia de malware ‘AgingFly’ compromete gobiernos locales y roba credenciales de navegadores y WhatsApp

admin

#### Introducción

En las últimas semanas, equipos de respuesta a incidentes han identificado una nueva y sofisticada familia de malware denominada ‘AgingFly’, dirigida principalmente a organismos gubernamentales locales y entidades del sector público. Este malware destaca por su capacidad para exfiltrar credenciales almacenadas en navegadores basados en Chromium y en la aplicación de mensajería WhatsApp, exponiendo a las organizaciones a riesgos significativos de seguridad, filtración de datos sensibles y potenciales ataques de escalada de privilegios.

#### Contexto del Incidente

El descubrimiento de AgingFly se produjo tras una serie de incidentes en los que diversas administraciones locales y organismos públicos reportaron accesos no autorizados y movimientos laterales inusuales en sus redes. El vector de ataque inicial parece haberse distribuido a través de campañas de phishing dirigidas, con documentos adjuntos maliciosos o enlaces a sitios web comprometidos, simulando comunicaciones oficiales.

A diferencia de otras campañas recientes, AgingFly presenta un enfoque dual: no solo busca credenciales y datos de autenticación en navegadores Chromium (incluyendo Google Chrome, Microsoft Edge, Brave y Opera), sino que también apunta a los datos almacenados y las sesiones activas de WhatsApp Desktop, ampliando así su rango de acción y persistencia.

#### Detalles Técnicos

El análisis de AgingFly ha permitido identificar varias características técnicas notables:

– **CVE asociadas**: Hasta el momento, no se ha vinculado AgingFly a una vulnerabilidad específica (zero-day), sino que aprovecha prácticas comunes de almacenamiento de credenciales en aplicaciones populares. Sin embargo, se han observado técnicas similares a las explotadas en CVE-2021-30554 (Chromium: Heap buffer overflow), aunque el vector principal sigue siendo la ingeniería social.
– **Vectores de ataque**: Phishing dirigido mediante correos electrónicos personalizados con archivos adjuntos Excel o PDF dotados de macros maliciosas. En algunos casos, se ha detectado la entrega de payloads a través de troyanos droppers descargados tras la interacción inicial.
– **TTPs (MITRE ATT&CK)**:
– **Initial Access (T1566)**: Phishing vía correo electrónico.
– **Credential Access (T1555, T1552.001)**: Acceso y extracción de credenciales de navegadores y aplicaciones.
– **Exfiltration (T1041)**: Transferencia de datos robados a servidores C2 mediante HTTPs y canales cifrados.
– **Indicadores de Compromiso (IoC)**: Hashes de archivos, direcciones IP y dominios de C2, rutas de archivos temporales en sistemas infectados y firmas de YARA específicas para las variantes conocidas de AgingFly.
– **Herramientas y frameworks**: Se ha observado el uso de módulos personalizados desarrollados ad hoc, si bien en fases secundarias se han detectado cargas de Cobalt Strike para persistencia y movimiento lateral.

#### Impacto y Riesgos

El impacto de AgingFly es considerable, especialmente en entidades que gestionan información crítica o datos personales de ciudadanos. Las credenciales extraídas permiten a los atacantes acceder a sistemas internos, exfiltrar información confidencial y lanzar campañas de spear phishing a escala. El robo de sesiones de WhatsApp Desktop agrava el riesgo al facilitar el secuestro de comunicaciones oficiales y la suplantación de identidad en procesos administrativos.

Según fuentes de threat intelligence, más del 20% de las víctimas iniciales reportaron incursiones posteriores, incluyendo intentos de acceso a infraestructuras críticas y sabotaje de servicios. Las implicaciones legales también son significativas, ya que la filtración de datos personales puede conllevar sanciones bajo el Reglamento General de Protección de Datos (GDPR) y obligaciones de notificación bajo la Directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a AgingFly, los equipos de seguridad deben adoptar una estrategia multicapa:

– **Actualización inmediata** de navegadores y aplicaciones de mensajería a las versiones más recientes, aplicando parches de seguridad recomendados por los fabricantes.
– **Revisión y restricción** de macros en documentos ofimáticos, empleando políticas de grupo (GPO) y soluciones antimalware avanzadas con capacidades de sandboxing.
– **Monitorización de IoCs** publicados por los equipos de inteligencia y actualización de firmas en sistemas EDR y SIEM.
– **Implementación de autenticación multifactor (MFA)** en todos los accesos a sistemas críticos y servicios en la nube.
– **Formación continua** del personal en la identificación de ataques de phishing y buenas prácticas de seguridad digital.
– **Análisis forense** en endpoints potencialmente comprometidos y rotación inmediata de contraseñas y tokens de acceso detectados como vulnerados.

#### Opinión de Expertos

Especialistas en ciberdefensa, como David Barroso (CounterCraft), destacan la sofisticación de AgingFly en la fase de exfiltración y su capacidad para eludir controles tradicionales: “La extracción de sesiones activas de apps como WhatsApp demuestra que los atacantes buscan persistencia y acceso a comunicaciones internas, lo que añade un nuevo vector de riesgo para las administraciones”.

Por su parte, analistas de S21sec advierten sobre la rápida adopción de TTPs por grupos de cibercrimen: “Las campañas de AgingFly evidencian la profesionalización del malware orientado a entidades públicas, aprovechando la falta de segmentación de redes y la obsolescencia de algunos sistemas”.

#### Implicaciones para Empresas y Usuarios

El auge de AgingFly subraya la necesidad de reforzar la seguridad en sectores públicos y privados. Las empresas deben revisar sus planes de continuidad y respuesta a incidentes, especialmente en lo relativo a la protección de credenciales y la gestión de aplicaciones de mensajería corporativa. Los usuarios, por su parte, deben extremar precauciones ante correos sospechosos y evitar reutilizar contraseñas.

#### Conclusiones

AgingFly constituye una amenaza significativa para la integridad y confidencialidad de las infraestructuras públicas y privadas. Su capacidad para robar credenciales y secuestrar sesiones de aplicaciones críticas exige una respuesta técnica coordinada y la adopción inmediata de medidas preventivas. La vigilancia activa y la colaboración entre organismos serán clave para contener su propagación en los próximos meses.

(Fuente: www.bleepingcomputer.com)