DEFINICIÓN DEL VIRUS
Tipo de virus: amenaza persistente avanzada, troyano, malware, APT, cajero automático, troyanos bancarios, spear phishing, cibercrimen
¿Qué es GCMAN?
GCMAN es un grupo que utiliza técnicas de APT y herramientas de Pen Testing legítimas para infectar redes informáticas e intentar robar fondos mediante la transferencia de dinero de instituciones financieras a servicios de moneda electrónica. El malware se ha compilado con la ayuda del compilador GCC, una rareza entre los desarrolladores de malware.
¿Qué se puede hacer?
El mecanismo de infección inicial se gestiona mediante spear phishing. Una institución financiera recibe correos electrónicos que contienen un archivo RAR malicioso. Cuando se abre el archivo RAR, se inicia un archivo ejecutable en lugar de un documento de Microsoft Word, lo que ocasiona una infección. El grupo también coloca un script cron en el servidor del banco para generar transacciones financieras a razón de 200 USD por minuto.
¿Quiénes son las víctimas de sus ataques?
Las víctimas se limitan a instituciones financieras.
¿Estoy en riesgo?
Estás en un grupo de riesgo si tu organización está dentro de la categoría anterior. Asegúrate de que estás utilizando soluciones antimalware avanzadas y de que cuentas con el asesoramiento de una empresa de seguridad fiable.
¿Cómo puedo saber si estoy infectado?
Los productos de Kaspersky Lab detectan y bloquean correctamente el malware utilizado por actores de amenaza GCMMAN con los siguientes nombres de detección:
Backdoor.Win32.GCMan; Backdoor.Win64.GCMan; Trojan-Downloader.Win32.GCMan
La empresa también ha publicado indicadores de compromiso (IOC) fundamentales y otros datos para ayudar a las organizaciones a buscar rastros de estos grupos de ataque en sus redes corporativas.
¿Cómo puedo protegerme?
La única manera de descubrir un intento de intrusión o un éxito de penetración del perímetro es analizar los patrones de conducta e intentar descubrir un ataque mediante la identificación de un atacante en un flujo de actividad de red corporativa habitual.
Para estar protegido, asegúrate de que estás utilizando soluciones antimalware avanzadas, como Kaspersky Endpoint Security for Business. Además, presta atención a tu concienciación sobre la ciberseguridad para asegurarte de que puedes identificar correos electrónicos de phishing en tu cuenta de correo electrónico.
Para elevar el nivel de protección, se recomienda que las organizaciones utilicen System Watcher, que incluye el módulo BSS (firmas de comportamiento en flujo). Este se incluye en todos los productos y soluciones modernos.
Por supuesto, ofrecer una multitud de potentes niveles de seguridad de endpoints no es suficiente. El spear phishing, una de las técnicas más populares para la infección inicial, hace que sea imprescindible contar con una solución de seguridad para el correo fiable. Kaspersky Security for Mail Servers analiza los correos electrónicos entrantes para comprobar la presencia de archivos adjuntos y URL maliciosos, lo que reduce considerablemente las posibilidades de que el malware llegue a sus víctimas.
