Los cibercriminales
prefieren, cada vez más, utilizar campañas de ingeniería social en lugar de
ataques sofisticados.
Los analistas de
Kaspersky Lab han identificado una nueva e importante tendencia en la forma en
la que operan los cibercriminales más sofisticados. Es cada vez más inusual que
estos actores utilicen técnicas de ataques sofisticadas o costosas, como las
vulnerabilidades zero-day, encontrándose más cómodos usando campañas de
ingeniería social combinadas con técnicas maliciosas. Como resultado, son
capaces de lanzar campañas dañinas que son extremadamente difíciles de detectar
con soluciones de seguridad para empresas.
Este cambio en cómo
trabajan demuestra que, en general, la infraestructura TI de las organizaciones
modernas están llenas de puntos débiles que, potencialmente, permiten a los
atacantes conseguir sus objetivos cibercriminales con unas herramientas
relativamente poco costosas. Microcin, una campaña maliciosa recientemente investigada
por los analistas de Kaspersky Lab, es un ejemplo de ataque económico y,
también, peligroso.
Todo empezó cuando la
plataforma KATA (Kaspersky Anti Targeted Attack Platform) descubrió un archivo
RTF sospechoso. El archivo incluía un exploit (malware que aprovecha las
vulnerabilidades en un software de uso común para instalar componentes
peligrosos adicionales) a una vulnerabilidad conocida y ya parcheada en
Microsoft Office. No es raro que los ciberdelincuentes habituales utilicen
estos exploits de vulnerabilidades conocidas para infectar a las víctimas con
un malware general y de distribución masiva, pero como se ha demostrado en
investigaciones más en profundidad, este archivo RTF en concreto no pertenecía
a otra gran oleada de infección, pero sí mucho más sofisticada y dirigida.
Este documento de
phishing se distribuyó utilizando unos sitios orientados a un grupo de personas
muy concreto: foros en los que se discutían asuntos relacionados con la
obtención de viviendas subvencionadas, un privilegio disponible principalmente
para empleados de organizaciones gubernamentales y militares en Rusia y en
algunos países vecinos.
Cuando el exploit se
dispara, el malware con una estructura modular se instala en el ordenador
objetivo. La instalación del módulo se lleva a cabo mediante inyección
malintencionada en iexplorer.exe, y la ejecución automática de este módulo se
completa mediante el secuestro del archivo dll. Ambas técnicas son muy
conocidas y utilizadas muy ampliamente.
Finalmente, cuando el
módulo principal está instalado, otros módulos adicionales se descargan desde
el servidor de comando y control. Al menos uno de ellos utiliza la
estenografía, que es la práctica de ocultar información dentro de archivos
aparentemente inofensivos, como imágenes, otra técnica malintencionada conocida
para la transferencia de datos robados.
Una vez que se ha
implementado toda la plataforma maliciosa, el malware busca archivos con
extensiones como .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt y .rtf., que
luego se envían en un archivo protegido con contraseña y transferido a los
operadores del ataque. Además de utilizar conocidas técnicas de infección y
movimientos laterales, al realizar la operación los atacantes usan activamente
puertas traseras conocidas que ya se han visto en ataques anteriores, y también
usan herramientas legítimas creadas para pruebas de penetración y que
generalmente no se detectan como peligrosas por las soluciones de seguridad.
“Si nos fijamos en
este ataque y lo analizamos las partes individualmente, veremos que no es nada
serio. Casi cualquier componente ha sido bien documentado por la industria de
seguridad y es algo relativamente fácil de detectar. Sin embargo, se combinan
de una forma que hace que el ataque sea difícil de detectar. Además, esta
campaña no es única. Al parecer algunos actores del mundo del ciberespionaje
cambian su modus operandi, pasando de desarrollar herramientas maliciosas
difíciles de detectar a la planificación y entrega de sofisticadas operaciones
que quizás no impliquen el uso de malware complejo, pero que sigue siendo
peligrosas”, dijo Alexey Shulmin, analista jefe de malware de Kaspersky Lab
Fuente: diarioti.com