El grupo Buhtrap aprovechó un exploit
zero-day en Microsoft Windows para realizar operaciones de espionaje en Europa.
Investigadores de ESET, compañía
dedicada a la detección proactiva de amenazas, informaron sobre un ataque
dirigido que se aprovechaba de una vulnerabilidad para la que no existía solución
(zero-day) en Microsoft Windows. ESET identificó como autores al grupo Buhtrap
APT que se centra en operaciones de espionaje en Europa del Este y Asia Central.
El grupo Buhtrap es conocido por
dirigir sus ataques y operaciones tanto a instituciones financieras como a
empresas en Rusia. Sin embargo, desde finales de 2015, se identificó un cambio
en el perfil de sus objetivos tradicionales evolucionando de un grupo criminal
puro que cometía delitos cibernéticos con fines de lucro, al desarrollo de un
conjunto de herramientas de malware utilizado para realizar espionaje.
“Siempre es difícil atribuir una
campaña a un actor en particular cuando el código fuente de sus herramientas
está disponible gratuitamente en la web. Sin embargo, como el cambio en el objetivo
se produjo antes de que se filtrara el código fuente, hemos descubierto con
bastante fiabilidad que las mismas personas que están detrás de los primeros ataques
de malware Buhtrap contra empresas y bancos ahora también participan en los
ataques a instituciones gubernamentales”, explica Jean-Ian Boutin, investigador
de ESET. “No está claro si uno o varios miembros de este grupo decidieron
cambiar de enfoque y por qué razones, pero definitivamente es una tendencia que
es probable que sigamos observando más en el futuro”, agregó.
En relación a esta campaña específica,
ESET confirma que el malware permitía robar contraseñas de clientes de correo y
navegadores, entre otros, y enviarlas a un servidor de mando y control. El
malware también otorgaba a sus operadores el acceso total al sistema
comprometido.
Como menciona la investigación de
ESET, aunque se agregaron nuevas herramientas y se aplicaron actualizaciones a
las antiguas, las tácticas, técnicas y procedimientos utilizados en las
diferentes campañas y ataques de Buhtrap no se modificaron demasiado en los
últimos años. Los documentos empleados para distribuir el malware a menudo
están acompañados de documentos trampa aparentemente benignos para evitar
levantar sospechas en la víctima. El análisis de estos documentos proporcionó
pistas a los investigadores sobre quiénes podrían ser los objetivos, las
herramientas utilizadas en las campañas de espionaje fueron muy similares a las
implementadas contra empresas e instituciones financieras en el pasado.
ESET informó sobre esta vulnerabilidad
al Centro de Respuesta de Seguridad de Microsoft, que corrigió la
vulnerabilidad y lanzó un parche.
Fuente: Diarioti.com