El informe ICS CERT de Kaspersky revela la
segunda parte del análisis de un malware de filtración de datos que ataca en
Europa del Este. En la primera fase realiza implantes de malware en los
sistemas de las víctimas. Tras ello, extrae información de sistemas con brechas
de aire o air gap (dispositivos y equipos aislados o desconectados de la red
principal), allanando el terreno para la transmisión de los datos.
Los analistas de Kaspersky fueron capaces de
identificar dos tipos de implantes específicos en la segunda fase del ataque.
Uno de los implantes es un malware modular sofisticado que infecta unidades
extraíbles (USB, etcétera) a través de un gusano. Su objetivo es filtrar datos
de equipos aislados o desconectados de empresas del sector industrial de Europa
del Este mediante esas unidades de memoria. El otro tipo de implante está
diseñado para robar datos de las computadoras locales y enviarlos a una cuenta
de Dropbox de los ciberatacantes.
El malware está diseñado específicamente para
filtrar datos de sistemas con brechas de aire mediante la infección de las
citadas unidades extraíbles. La herramienta maliciosa está compuesta de tres
módulos, cada uno de ellos encargado de tareas diferentes: gestión de los
dispositivos extraíbles, captura de datos e implantación de malware en las
unidades recién conectadas.
A lo largo de la investigación, los analistas
de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la
detección de los sistemas defensivos de las empresas. Lo consiguen mediante la
encriptación de un payload en archivos de datos binarios separados, así como a
través de la incrustación de código malicioso en la memoria de aplicaciones
legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de
memoria.
"Los esfuerzos de los ciberdelincuentes
por ofuscar sus acciones a través de cargas encriptadas, inyecciones de memoria
y secuestro de DLL hablan por sí solo de lo sofisticadas que son sus tácticas.
Aunque la filtración de datos de redes aisladas es una estrategia recurrente
adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido
específicamente diseñada e implementada por el actor de amenazas. Kaspersky
continúa ofreciendo protección contra estos y otros ataques cibernéticos, y
colabora con la comunidad de ciberseguridad para difundir inteligencia de
amenazas que se pueda procesar", explica Kirill Kruglov, investigador
sénior de seguridad de Kaspersky.
No hay comentarios:
Publicar un comentario