AutoCAD es
un software desarrollado por la compañía Autodesk para el modelado y diseño 2D
y 3D. A diferencia de otros programas desarrollados por la compañía, como
3DStudio, éste está orientado al diseño industrial, muy utilizado en el mundo
de la arquitectura y la ingeniería.
La empresa
que ha sacado a la luz este estudio, ha sido la firma de seguridad ForcePoint,
que asegura, según los datos recogidos, que este ataque lleva activo desde
2014.
El vector
de entrada, como en muchos casos, comienza con campañas de spam: un envío
masivo de correos electrónicos con enlaces a sitios que suplantan la identidad
de una entidad o a sitios de almacenamiento en la nube.
Para que
este ataque tenga el éxito deseado, los atacantes ofrecían documentos robados a
otras compañías de la competencia con diseños de grandes proyectos. Estos
ficheros llevan consigo el código malicioso encargado de infectar y sustraer la
información de la víctima.
La
explotación se conseguía gracias a una característica básica de carga
automática presente en AutoCAD y que permite la ejecución de scripts basados en
AutoLISP, un derivado de LISP, un lenguaje similar al que usan las macros del paquete
Office de Microsoft.
Aunque los
ficheros AutoLISP son ficheros en texto plano y legible a nivel humano, también
permite un realizar un compilado, dando como resultado un fichero llamado
‘acad.fas’, de carga rápida. Gracias a estos compilados, el atacante puede
ofuscar el comportamiento fraudulento sin ser detectado de forma sencilla.
Estos ficheros, a los que el atacante les ha añadido un componente de descarga,
son incluidos junto a los ficheros del proyecto para que sean cargados de forma
automática.
Esto
permitirá establecer comunicación con el servidor remoto del atacante (C2).
Utilizando la información de fecha y hora actuales, el malware establecerá
intervalos de conexión para evitar saturar la red del infectado. Una vez se
establezca la conexión con el servidor del atacante, el malware enviará
proyectos de la víctima, que debido al gran tamaño que pueda tener el proyecto,
utilizará servicios en la nube para este tipo de tareas.
En los
análisis realizados por la compañía, aunque los dominios utilizados eran distintos,
todos apuntaban a una misma IP. La mostramos en la siguiente imagen:
Aunque este
tipo de documentos parezca no ser de un gran atractivo, gracias al auge del
sector de las energías renovables y cuando se trata de grandes proyectos y empresas
a nivel internacional, este tipo de ataques están despertando cada vez más el
interés de los atacantes, que buscan constantemente nuevas formas de lucrarse.
Para evitar
o mitigar estos problemas, se recomienda desactivar la ejecución automática de
estos scripts de carga en el software, para que nos avise y pida confirmación
sobre la ejecución de dicho script.
Más información:
AutoCAD
Malware – Computer Aided Theft: https://www.forcepoint.com/blog/security-labs/autocad-malware-computer-aided-theft
Fuente:
Hispasec