El malware "octubre rojo", nuevamente se ha vuelto a
relanzar con la incorporación de un nuevo rootkit y actuando de forma agresiva
contra los usuarios de dispositivos móviles.
Investigadores de la empresa de seguridad Kaspersky han
investigando esta actividad desde finales del mes de agosto, creyendo que se
había vuelto a la actividad casi un año después de que esta cesara. Sin lugar a
dudas, la oportunidad para los responsables de esta trama pasaba por actuar con
los usuarios desprevenidos y que esta no saliese a la luz. Sin embargo, una vez
que se difundió entre los medios pronto cesó su actividad, hasta este año que
se ha vuelto a detectar. Reino Unido, Rusia, Estados Unidos, Bélgica, Francia o
Alemania son solo algunos de los países que se han visto afectados, aunque hay
que añadir que la inmensa mayoría restante pertenece a la Europa del Este.
Cloud Atlas es el nombre del malware utilizado para
este ataque y se encuentra alojado en un servidor de la compañía CloudMe, la
cual ofrece servicios de hosting para empresas y usuarios particulares. Los
investigadores han detectado que este se distribuye en un fichero .doc infectado
con un VBS. A diferencia de otras versiones, han detectado que el malware se
instala de forma permanente en el sistema y utiliza el cifrado para evitar ser
detectado. También modifica variables del registro del sistema para que al
producirse el arranque del sistema operativo la puerta trasera esté disponible
desde un primer momento.
Sin embargo, los sistemas de escritorio no son las
únicas víctimas en esta nueva campaña de espionaje.
Tasa muy alta de infección en Octubre rojo (Android, iOS o Blackberry)
- A diferencia de la ocasión
anterior, los usuarios de dispositivos móviles son los que más afectados
se están viendo. Todos los sistemas operativos móviles se han visto
afectados de alguna manera, y solo Windows Phone ha salido más o menos
indemne, en parte también a una baja cuota de mercado.
- Todos los sistemas tienen en
común la vía de infección, utilizándose el correo electrónico como tal.
Incluso se han llegado a detectar casos en los que se recurría a los MMS
para infectar los equipos de los usuarios. En ambas opciones se
proporcionaba un enlace a la descarga de un fichero que servía para
realizar la instalación del malware y la puerta trasera.
- Entre el botín de los
ciberdelincuentes destacan miles de conversaciones telefónicas grabadas,
ubicaciones, fotografías, conversaciones llevadas a cabo en diferentes
servicios, redes WiFi y así hasta una larga lista de datos. Includo los
contactos de la libreta del terminal se utilizaban para extender la
amenaza a más usuarios.
Campaña suspendida temporalmente
- Tal y como ya hemos mencionado
con anterioridad, en la anterior ocasión cuando se descubrió la trama se
llevo a cabo el cese de la actividad. Ahora, en primer lugar ha sido en
primer lugar han sido los propios responsables del hosting los que han
procedido a eliminar el contenido y bloquear las cuentas asociadas,
obligando a los ciberdelincuentes a suspender la campaña hasta
confeccionar una nueva infraestructura.
Fuente: Softpedia
