Tag malware

Similitudes con el recién descubierto malware para Linux utilizado en la Operación DreamJob corroboran la teoría de que el famoso grupo alineado con Corea del Norte está detrás del ataque a la cadena de suministro de 3CX.

Investigadores de ESET descubrieron una nueva campaña del grupo de APT Lazarus llamada Operación DreamJob dirigida a usuarios de Linux. Operación DreamJob es el nombre de una serie de campañas en las que el grupo utiliza técnicas de ingeniería social para comprometer a sus objetivos mediante falsas ofertas de trabajo que utiliza como anzuelo. En este caso, hemos sido capaces de reconstruir toda la cadena, desde el archivo ZIP que entrega una oferta de trabajo falsa de HSBC como señuelo, hasta el payload final: el backdoor de Linux SimplexTea distribuido a través de una cuenta de almacenamiento en la nube de OpenDrive. Hasta donde sabemos, esta es la primera referencia pública a este importante actor de amenazas alineado con Corea del Norte utilizando malware para Linux como parte de esta operación.

Además, este descubrimiento nos ayudó a confirmar con un alto nivel de confianza que el reciente ataque a la cadena de suministro de 3CX fue en realidad llevado a cabo por el grupo Lazarus, un vínculo que se sospechaba desde el principio y que varios investigadores de seguridad han demostrado desde entonces. En esta publicación corroboramos estos hallazgos y proporcionamos pruebas adicionales que demuestran la conexión entre Lazarus y el ataque a la cadena de suministro de 3CX.

El ataque de cadena de suministro que afectó a 3CX

3CX es un desarrollador y distribuidor de software VoIP que ofrece servicios de sistema telefónico a muchas organizaciones a nivel internacional. Según su sitio web, 3CX tiene más de 600,000 clientes y 12,000,000 de usuarios en varios sectores, incluyendo el aeroespacial, la salud y el de la hospitalidad. 3CX proporciona software de cliente para utilizar sus sistemas a través de un navegador web, aplicación móvil o una aplicación de escritorio. A fines de marzo de 2023, se descubrió que la aplicación de escritorio tanto para Windows como para macOS contenía código malicioso que permitía a un grupo de atacantes descargar y ejecutar código arbitrario en todas las máquinas donde se instaló la aplicación. Rápidamente, se determinó que este código malicioso no fue agregado por 3CX, sino que 3CX fue comprometido y que su software fue utilizado en un ataque de cadena de suministro impulsado por actores de amenazas externos para distribuir malware adicional a clientes específicos de 3CX.

Este incidente de seguridad ha sido noticia en los últimos días. Inicialmente reportado el 29 de marzo de 2023 en un hilo de Reddit por un ingeniero de CrowdStrike, seguido por un informe oficial de  CrowdStrike en el que se afirmaba con un alto grado de confianza que LABIRINTH CHOLLIMA, el nombre en clave que utiliza la compañía para referirse a Lazarus, estaba detrás del ataque (pero omitiendo cualquier evidencia que respalde la afirmación). Debido a la gravedad del incidente, múltiples compañías de seguridad comenzaron a contribuir con sus respectivos resúmenes de los eventos, como Sophos, Check Point, Broadcom, Trend Micro y más.

Además, la parte del ataque que afectó a los sistemas que ejecutan macOS fue cubierta en detalle en un hilo de Twitter y en una publicación realizada por Patrick Wardle.

Cronología de los hechos

Figura 1. Cronología de los eventos relacionados con la preparación y distribución de aplicaciones de 3CX troyanizadas.

La cronología muestra que los perpetradores planearon los ataques mucho antes de la ejecución. Tan temprano como diciembre de 2022. Esto sugiere que ya tenían un pie dentro de la red de 3CX desde finales del año pasado.

Mientras que la aplicación troyanizada de 3CX para macOS muestra que fue firmada a finales de enero, no fue hasta el 14 de febrero de 2023 que vimos la aplicación maliciosa en nuestra telemetría. No está claro si la actualización maliciosa para macOS se distribuyó antes de esa fecha.

Aunque la telemetría de ESET muestra la existencia del payload de segunda etapa para macOS tan pronto como febrero, no teníamos una muestra ni metadatos que nos alertaran sobre su malicia. Incluimos esta información para ayudar a quienes trabajan en seguridad para determinar cuánto tiempo atrás los sistemas podrían haber sido comprometidos.

Varios días antes de que se revelara públicamente el ataque, se subió a VirusTotal una muestra de un misterioso downloader para Linux. Este downloader descarga un nuevo payload malicioso de Lazarus para Linux y más adelante en esta publicación explicamos su relación con el ataque.

Atribución a Lazarus del ataque de cadena de suministro a 3CX

Lo que se ha publicado hasta el momento

Hay un dominio que tiene un papel significativo en nuestra atribución: journalide[.]org. Se menciona en algunos de los informes de otros proveedores mencionados anteriormente, pero su presencia nunca se explica. Curiosamente, los artículos de SentinelOne y ObjectiveSee no mencionan este dominio. Tampoco lo hace una publicación de Volexity, que incluso se abstuvo de proporcionar atribución, indicando “Volexity actualmente no puede relacionar la actividad divulgada con ningún actor de amenazas”. Sus analistas fueron de los primeros en investigar el ataque en profundidad y crearon una herramienta para extraer una lista de servidores de C&C a partir de iconos cifrados en GitHub. Esta herramienta es útil, ya que los atacantes no embebieron los servidores C&C directamente en las etapas intermedias, sino que utilizaron GitHub como dead-drop resolver. Las etapas intermedias son downloaders para Windows y macOS que denominamos IconicLoaders, y los payloads que obtienen como IconicStealer y UpdateAgent, respectivamente.

El 30 de marzo, Joe Desimone, un investigador de seguridad de Elastic Security, fue uno de los primeros en proporcionar, a través de un hilo de Twitter, pistas sustanciales que señalan que los ataques a 3CX probablemente están relacionados con el grupo Lazarus. Desimone observó que un fragmento de código de shellcode agregado al payload desde d3dcompiler_47.dll es similar a fragmentos en el loader de AppleJeus atribuidos a Lazarus por CISA en abril de 2021.

El 31 de marzo se informó que 3CX había contratado a Mandiant para proporcionar servicios de respuesta a incidentes relacionados con el ataque de cadena de suministro.

El 3 de abril, Kaspersky, a través de su telemetría, mostró una relación directa entre las víctimas del ataque de cadena de suministro a 3CX y el despliegue de un backdoor denominado Gopuram, y señalo cómo los elementos en común payloads con el mismo nombre: guard64.dll. Los datos de Kaspersky muestran que Gopuram está conectado a Lazarus porque coexistieron en máquinas víctimas junto con AppleJeus, un malware que ya fue atribuido a Lazarus. Tanto Gopuram como AppleJeus se observaron en ataques contra una compañía de criptomonedas.

Luego, el 11 de abril, el CISO de 3CX resumió las conclusiones de un informe intermedio elaborado por Mandiant en una publicación. Según ese informe, dos muestras de malware para Windows, un loader de shellcode llamado TAXHAUL y un downloader complejo llamado COLDCAT, estuvieron involucrados en el compromiso de 3CX. No se proporcionaron hashes, pero la regla YARA de Mandiant, llamada TAXHAUL, también se activa en otras muestras que ya se encuentran en VirusTotal:

• SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
• SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)

Los nombres de archivo, pero no los MD5, de estas muestras coinciden con los del artículo de Kaspersky. Sin embargo, 3CX afirma explícitamente que COLDCAT difiere de Gopuram.

La siguiente sección contiene una descripción técnica del nuevo payload malicioso de Lazarus para Linux que analizamos recientemente, y una explicación de cómo nos ayudó a fortalecer esta conexión entre Lazarus y el ataque a 3CX.

Operación DreamJob con un payload para Linux

La Operación DreamJob del grupo Lazarus involucra el acercamiento a sus objetivos a través de LinkedIn y tentarlos con ofertas de trabajo dirigidas a líderes de ciertas industrias. El nombre fue acuñado por ClearSky en un artículo publicado en agosto de 2020. Ese artículo describe una campaña de ciberespionaje de Lazarus dirigida a empresas de defensa y aeroespaciales. La actividad se superpone con lo que ESET denominó Operación In(ter)ception, que fue el análisis de una serie de ataques con fines de ciberespionaje que han estado en curso desde al menos septiembre de 2019 y que apuntan a empresas aeroespaciales, militares y de defensa y en los cuales se utilizan herramientas maliciosas específicas, inicialmente solo para Windows. Durante julio y agosto de 2022, encontramos dos instancias de Operación In(ter)ception que apuntaban a macOS. Se subió una muestra de malware a VirusTotal desde Brasil, y otro ataque apuntó a un usuario de las soluciones de ESET en Argentina. Hace unas semanas, se encontró en VirusTotal un payload nativo para Linux junto con un documento utilizado como señuelo en formato PDF y que utiliza el nombre de HSBC. Esto completa la capacidad de Lazarus de poder comprometer todos los principales sistemas operativos de escritorio.

El 20 de marzo, un usuario en el país de Georgia cargó a VirusTotal un archivo ZIP llamado HSBC job offer.pdf.zip. Teniendo en cuenta otras campañas de Lazarus en las que utilizó falsas ofertas de trabajo, es probable que este payload se haya distribuido a través de spearphishing o mensajes directos en LinkedIn. El archivo contiene un solo archivo: un binario nativo de Intel de 64 bits escrito en Go y llamado HSBC job offer․pdf que en español se traduce como “HSBC oferta de trabajo.pdf”.

Curiosamente, la extensión del archivo no es .pdf. Esto se debe a que el carácter de punto en el nombre de archivo es un líder de punto representado por el carácter Unicode U+2024. El uso del carácter de líder de punto en el nombre de archivo probablemente fue un intento de engañar al administrador de archivos para que trate al archivo como un ejecutable en lugar de un PDF. Esto podría hacer que el archivo se ejecute cuando se hace doble clic en él en lugar de abrirlo con un visor de PDF. Al ejecutarlo, se muestra al usuario un documento PDF falso utilizando xdg-open, que abrirá el documento utilizando el lector de PDF de preferencia del usuario (ver figura 3). Decidimos llamar a este downloader ELF OdicLoader, ya que tiene un rol similar a los IconicLoaders en otras plataformas y el payload se obtiene de OpenDrive.

OdicLoader droppea un documento PDF falso que abre utilizando el visor de PDF predeterminado del sistema (ver figura 2), y luego descarga un backdoor de segunda etapa desde el servicio en la nube de OpenDrive. El archivo descargado se almacena en~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Llamamos a este backdoor de segunda etapa SimplexTea.

Como último paso de su ejecución, OdicLoader modifica ~/.bash_profile, y de esta manera se inicia SimplexTea con Bash y su salida se mutea (~/.config/guiconfigd >/dev/null 2>&1).

Figura 2. Ilustración de la probable cadena de compromiso.

Figura 3. Un señuelo que utiliza el nombre de HSBC en la campaña de DreamJob para Linux.

SimplexTea es un backdoor para Linux escrito en C++. Como se destaca en la Tabla 1, los nombres de sus clases son muy similares a los nombres de las funciones encontradas en una muestra, con el nombre de archivo “sysnetd“, enviada a VirusTotal desde Rumania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Debido a las similitudes en los nombres de las clases y las funciones entre SimplexTea y sysnetd, creemos que SimplexTea es una versión actualizada, reescrita de C a C++.

Tabla 1. Comparación de los nombres de los símbolos originales de dos backdoors para Linux que se cargaron a VirusTotal.

¿Cómo está relacionado sysnetd con Lazarus? La siguiente sección muestra similitudes con el backdoor para Windows de Lazarus llamado BADCALL.

BADCALL para Linux

Atribuimos sysnetd a Lazarus debido a sus similitudes con los siguientes dos archivos (y creemos que sysnetd es una variante para Linux del backdoor para Windows de Lazarus llamado BADCALL):

• P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), muestra similitudes de código con sysnetd en la forma de los dominios utilizados como fachada para una conexión TLS falsa (ver Figura 4). CISA lo atribuyó a Lazarus en diciembre de 2017. A partir de septiembre de 2019, CISA comenzó a llamar a las versiones más nuevas de este malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).

Figura 4. Similitudes entre una variante de BADCALL para Windows y una para Linux (una lista de dominios utilizados como fachada para una conexión TLS falsa)

• prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F) muestra similitudes de código con sysnetd (ver Figura 5). Fue atribuido a Lazarus por CISA en febrero de 2021. También se observa que SIMPLESEA, un backdoor para macOS descubierto durante la respuesta al incidente de 3CX, implementa el cifrado de flujo A5/1.

Figura 5. Similitudes entre AppleJeus para macOS y la variante para Linux de BADCALL (la clave para el cifrado de flujo A5/1)

Esta versión para Linux del backdoor BADCALL, sysnetd, carga su configuración desde un archivo llamado /tmp/vgauthsvclog. Dado que los operadores de Lazarus han disfrazado previamente sus payloads, el uso de este nombre, que es utilizado por el servicio de autenticación de invitados de VMware, sugiere que el sistema objetivo puede ser una máquina virtual VMware de Linux. Es interesante destacar que la clave XOR en este caso es la misma que la utilizada en SIMPLESEA de la investigación de 3CX.

Figura 6. Cargando un archivo de configuración por BADCALL para Linux, ver Figura 8

Al observar los tres enteros de 32 bits, 0xC2B45678, 0x90ABCDEF y 0xFE268455 de la Figura 5, que representan una clave para una implementación personalizada del cifrado A5/1, nos dimos cuenta de que el mismo algoritmo y las claves idénticas se utilizaron en un malware para Windows que se remonta a finales de 2014 y que estuvo involucrado en uno de los casos más notorios de Lazarus: el ciber-sabotaje a Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).

Figura 7. Procedimiento de descifrado compartido entre BADCALL para Linux y el malware destructivo dirigido a Windows de 2014

Puntos adicionales para la atribución

Para resumir lo que hemos mencionado hasta ahora, atribuimos el ataque a la cadena de suministro de 3CX al grupo Lazarus con un alto nivel de confianza. Esto se basa en los siguientes factores:

1. Malware (el conjunto de intrusiones):
   • El IconicLoader (samcli.dll) utiliza el mismo tipo de cifrado fuerte – AES-GCM – que SimplexTea (cuya atribución a Lazarus se estableció a través de la similitud con BALLCALL para Linux); solo difieren las claves e inicialización de vectores.
   • Basado en los encabezados PE Rich, tanto IconicLoader (samcli.dll) como IconicStealer (sechost.dll) son proyectos de un tamaño similar y compilados en el mismo entorno de Visual Studio que los ejecutables iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) e iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) reportados en las campañas de criptomonedas de Lazarus por Volexity y Microsoft. Incluimos a continuación la regla YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, que notifica todas estas muestras, y ningún archivo malicioso o limpio no relacionado, como se probó en las bases de datos actuales de ESET y las muestras cargadas recientemente a VirusTotal.
   • El payload de SimplexTea carga su configuración de una manera muy similar al malware SIMPLESEA según la respuesta oficial sobre el incidente a 3CX. La clave XOR difiere (0x5E vs. 0x7E), pero la configuración tiene el mismo nombre: apdl.cf (ver Figura 8).

Figura 8. Carga de un archivo de configuración por SimplexTea para Linux, cf. Figura 6

Infraestructura:

• Hay una infraestructura de red compartida con SimplexTea, ya que utiliza https://journalide[.]org/djour.php como su C&C, cuyo dominio se informó en los resultados oficiales proporcionados por la respuesta al incidente a 3CX realizada por Mandiant.

Figura 9. Una URL hardcodeada en SimplexTea para Linux

Conclusión

El ataque a la cadena de suministro de 3CX ha llamado mucho la atención de la comunidad de seguridad desde su divulgación el 29 de marzo. El software comprometido, desplegado en varias infraestructuras de TI, permite la descarga y ejecución de cualquier tipo de payload, por lo tanto el impacto de un ataque de estas características puede ser devastador. Desafortunadamente, ningún proveedor de software está expuesto a ser comprometido y distribuir inadvertidamente versiones troyanizadas de sus aplicaciones.

La sigilosa naturaleza de un ataque de cadena de suministro hace que este método de distribución de malware sea muy atractivo desde la perspectiva del atacante. Lazarus ya ha utilizado esta técnica en el pasado. Por ejemplo, en una campaña dirigida a usuarios del software WIZVERA VeraPort en Corea del Sur en 2020. Las similitudes con otras piezas de malware conocidas y que forman parte del conjunto de herramientas que utiliza Lazarus, además de las técnicas típicas del grupo, sugieren fuertemente que el reciente compromiso de 3CX es también obra de Lazarus.

También es interesante destacar que Lazarus puede producir y utilizar malware para atacar a los principales sistemas operativos de escritorio: Windows, macOS y Linux. Ambos sistemas Windows y macOS fueron atacados durante el incidente de 3CX a través del versiones troyanizadas del software VoIP de 3CX para ambos sistemas operativos que permitían a los atacantes obtener payloads arbitrarias. En el caso de 3CX, existen versiones de malware de segundo nivel para Windows y macOS. Este artículo demuestra la existencia de un backdoor para Linux que se corresponde con el malware SIMPLESEA para macOS visto en el incidente de 3CX. Nombramos este componente de Linux como SimplexTea y mostramos que forma parte de Operation DreamJob, la campaña insignia de Lazarus que se caracteriza por utilizar ofertas de trabajo para atraer y comprometer a víctimas desprevenidas.

IoCs

Archivos

Red

Técnicas de MITRE ATT&CK

Apéndice

Esta regla YARA notifica el cluster que contiene tanto IconicLoader como IconicStealer, así como también los payloads desplegados en las camáñas apuntando a criptomonedas que tuvieron lugar en diciembre de 2022.

Fuente:  www.welivesecurity.com

La Agencia Espacial Europea permitió a Thales tomar el control de su orbitador OPS-SAT.ESA

Los investigadores recuerdan la importancia de tomar medidas de ciberseguridad para evitar los ataques informáticos, sobre todo ahora que la tecnología espacial está siendo tan relevante para temas militares y civiles. 

La Agencia Espacial Europea (ESA) quiso poner a prueba la seguridad cibernética de su tecnología espacial. Para ello, permitió a un equipo de ciberseguridad de la empresa Thales intentar interrumpir el funcionamiento del nanosatélite OPS-SAT durante la conferencia CYSAT.

Los investigadores lograron hackear el satélite, que lleva en la órbita baja terrestre desde 2019, accediendo a su sistema de posicionamiento global. Al hacer esto, eran capaces de controlar la actitud (orientación o posición) y la cámara de a bordo.

«El acceso no autorizado a estos sistemas puede causar daños graves al satélite o provocar una pérdida de control sobre su misión«, afirma Thales en un comunicado. La compañía, con la demostración, ejemplificó la importancia de que las agencias y empresas espaciales tengan un alto nivel de resiliencia cibernética en sus exploraciones.

La ESA ha confirmado que tuvieron en todo momento el control de OPS-SAT y que el equipo de Thales no llevó a cabo nada arriesgado durante su vuelta a la Tierra. Por su parte, los expertos en ciberseguridad aseguran que usaron derechos de acceso estándar para manejar su entorno de aplicaciones y que encontraron vulnerabilidades que permitían introducir malwares en los sistemas.

Con un código malicioso, pudieron comprometer los datos enviados a la Tierra, modificando las imágenes capturadas por la cámara del orbitador. También comentan que fueron capaces de ocultar sus actividades para que la ESA detectase lo que estaban haciendo, como enmascarar zonas geográficas seleccionadas en las fotografías satelitales.

Pierre-Yves Jolivet, vicepresidente de soluciones cibernéticas de Thales, detalló que «con el creciente número de aplicaciones militares y civiles que dependen de los sistemas satelitales en la actualidad, la industria espacial debe tener en cuenta la ciberseguridad en todas las etapas del ciclo de vida del satélite». Como ejemplo, el profesional ha subrayado la atención que deben hacerse desde el diseño inicial hasta el desarrollo y el mantenimiento de los sistemas, adaptándolas a soluciones actuales y futuras.

Un reciente informe de la CIA publicado en Financial Times señala que tienen sospechas de que en China están investigando formas de «tomar el control» de satélites extranjeros. En 2022, un investigador belga hackeó una terminal de Starlink, de SpaceX, con un modchip personalizado. Eso demuestra la importancia de implementar medidas seguras, como dice Jolivet.

Fuente: www.20minutos.es

El equipo de investigación de ESET analizó una campaña de espionaje que utiliza el malware AsyncRAT que apunta a organismos gubernamentales y empresas de diversas industrias de Colombia.

El equipo del Laboratorio de Investigación de ESET Latinoamérica analizó una campaña de espionaje que se registró en diciembre de 2022 apuntando a blancos de alto perfil de Colombia. Los actores maliciosos detrás de esta campaña, a la cual hemos denominado Operación Absoluta, lanzaron sus ataques a entidades gubernamentales y compañías privadas de industrias como la construcción, entre muchas otras.

El objetivo era descargar en los sistemas de las víctimas AsyncRAT, un Troyano de Acceso Remoto (RAT, por sus siglas en inglés) que tal como lo indica su nombre permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, acceder a archivos y carpetas, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso descargar en el equipo malware adicional.

El proceso de infección comenzaba con un correo electrónico que incluía un documento de Microsoft Office. El mismo contiene un enlace que libera un código malicioso que finalmente descarga AsyncRAT en el equipo de la víctima. Estos correos utilizan como señuelo para engañar a las víctimas temas como demandas o procesos judiciales. Además, como parte de la ingeniería social, hemos visto casos en los que utilizan datos personales de personas reales para hacer más creíble el correo.

Esta campaña está compuesta por tres etapas con diferentes características cada una y se descubrió por un correo de phishing que distribuía una amenaza que afecta a sistemas operativos de Windows. La misma es detectada por las soluciones de seguridad de ESET como BAT/Agent.PRS y su actividad llamó nuestra atención.

Una cualidad que caracteriza a Operación Absoluta y por la cual hemos decidido llamar así a esta campaña es la técnica de ofuscamiento que emplea, ya que utiliza diversas operaciones matemáticas, como el cálculo de valor absoluto. Es posible que esta característica haya sido utilizada para evadir alguna solución de seguridad o hacer más difícil la tarea de análisis.

En el siguiente diagrama se puede ver cómo es el proceso de infección de esta campaña, partiendo desde la recepción de un correo electrónico que contiene adjunto un documento Word, el cual contiene un enlace que descarga un archivo desde Google Drive, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: AsyncRAT.

Imagen 1 – Diagrama de infección

Vale la pena mencionar que Operación Absoluta es un nuevo ejemplo de cómo los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando malware disponible para su compra o descarga gratuita en repositorios públicos, foros y grupos de cibercrimen.

En 2021 analizamos una campaña denominada Bandidos en la cual los actores maliciosos utilizaron el RAT Bandook, disponible en mercados de la dark web, para llevar adelante ataques apuntando a redes corporativas de empresas de distintas industrias en Venezuela. Ese mismo año publicamos detalles sobre Operación Spalax, una campaña dirigida a instituciones gubernamentales y compañías de Colombia, principalmente de industrias como la energética y la metalúrgica, utilizando los troyanos de acceso remoto Remcos, njRAT y AsyncRAT. En 2022 analizamos otras dos campañas de espionaje en las que se utilizaron códigos maliciosos conocidos y disponibles públicamente. Una de ellas fue Operación Discordia, la cual apunto a empresas de distintas industrias, organizaciones sin fines de lucro y organismos gubernamentales de Colombia utilizando njRAT, y otra fue Operación Pulpo Rojo, una campaña que se concentró en Ecuador y apunto a empresas y organismos gubernamentales utilizando el popular malware Remcos.

Si bien Operación Absoluta presenta similitudes con todas estas campañas en cuanto a la modalidad general de envío de malspam y el uso de commodity malware, como es AsyncRAT, no podemos atribuir este ataque al mismo grupo de amenazas que desplegó alguna de las anteriores campañas.

Como podemos ver, más allá de la sofisticación que puedan tener algunas campañas que llevan adelante grupos de APT a nivel global, la creciente cantidad de campañas con fines de espionaje dirigidas a blancos específicos en América Latina muestra que este modus operandi parece resultar efectivo a los grupos que las operan y que las empresas y organismos de gobierno de la región deben estar atentas.

Actividades Maliciosas 

Esta campaña posee diferentes etapas que incluyen correos de spearphishing, el uso de droppers y de un troyano. Por un lado, su primer objetivo es engañar a las víctimas para que hagan clic en un enlace que está dentro de un documento de Microsoft Word incluido como adjunto en los correos electrónicos enviados. A través de ese enlace, las víctimas descargan y ejecutan un archivo Batch malicioso encargado de ejecutar una serie de comandos en la consola del sistema (cmd). Estos comandos descifran otros módulos que realizan distintas actividades maliciosas con el objetivo final de infectar a la víctima con un troyano que posee diferentes capacidades para robar información sensible. Estas capacidades incluyen el registro de las pulsaciones de teclado, realizar capturas de pantalla, entre muchas otras que más adelante en esta misma publicación detallaremos. Luego, esa información es recolectada y enviada hacia un servidor controlado por los atacantes.

Etapa 1: Acceso inicial

Esta etapa tiene la finalidad de descargar y ejecutar un archivo Batch. Esto lo hace a través de un enlace incluido en los documentos enviados como adjunto en los correos. Este enlace conduce a la descarga de un archivo comprimido alojado en Google Drive que está protegido con contraseña. La misma es 1234 y está información está incluida en el mismo correo.

Si bien a partir de algunos correos analizados identificamos el servicio de Google Drive para alojar el primer componente malicioso, por las características de este tipo de campaña y dado que se identificaron diferentes nombres de archivos, es factible que se hayan utilizado otros servicios de alojamientos de archivos en la nube.

En las siguientes imágenes se pueden ver ejemplos de los correos electrónicos enviados que obtuvimos durante el análisis de esta campaña:

Imagen 2 – Ejemplo de phishing utilizado en la campaña.

Imagen 3 – Ejemplo de un archivo de Microsoft Office utilizado en esta campaña en la que se utiliza información legítima de una firma de abogados en Colombia.

Como se observa en la Imagen 2 y 3, los cibercriminales utilizan como excusa correos relacionados con demandas o procesos judiciales para provocar preocupación y que las potenciales víctimas los abran. La información en el correo utiliza datos de profesionales reales a los que se suplanta su identidad. De hecho, algunas firmas de abogados en Colombia han alertado sobre estos correos.

En la Imagen 3 podemos observar que el asunto del correo era “Departamento-Asuntos-Jurídicos Envío Notificación por Demanda”.

Además, podemos apreciar la URL para descargar un supuesto documento alojado en Google Drive que en realidad conducen a la descarga de un archivo comprimido con la extensión .rar. Al buscar en la telemetría de ESET obtuvimos distintos nombres para estos archivos comprimidos, los cuales están protegidos con contraseña. La misma es un valor numérico de cuatro dígitos (1234). Esto nos indica que los cibercriminales podrían estar utilizando otros servicios de alojamiento de archivos.

A continuación se listan ejemplos de los nombres que poseen los códigos maliciosos que se encuentran dentro de los archivos comprimidos:

• CamScanner-165962620.rar
• TRANSACTION_A_CUENTA_BANCARIA.rar

Como se puede apreciar en la Imagen 4, es evidente que hay algo sospechoso, ya que el archivo comprimido contiene un archivo con la extensión .bat. Esto significa que el archivo no es un documento de texto, sino que es un archivo de procesamiento por lotes (Batch), el cual es utilizado para la ejecución de instrucciones MS-DOS. A continuación podemos observar el código que contiene el archivo .bat.

Imagen 5 – Ejemplo del código malicioso ofuscado dentro de un archivo .bat.

Al desofuscar el código se puede visualizar la verdadera funcionalidad del mismo, en la siguiente captura de pantalla se puede ver el código malicioso des ofuscado dentro del archivo .bat:

Imagen 6 – Ejemplo de un código malicioso en Visual Basic desofuscado que contiene el archivo batch.

Una vez que la víctima ejecuta el componente malicioso se invoca al intérprete de PowerShell para ejecutar un código malicioso que está cifrado con el algoritmo criptográfico AES-256, el cual utilizará los siguientes datos para descifrarlo:

• Key:8CC76B80164589497DF038B47A72848E6A50D11B11F038C4DCFB9988CDD5DBD6
• IV:E71E24FA7578D7F796434250BAF15FB1

Una vez que se descifran los códigos maliciosos, los mismos van a ser ejecutados en memoria.

A continuación detallamos el comportamiento de estos códigos maliciosos.

Etapa 2: Ejecución en memoria

En esta etapa se procede a ejecutar dos ejecutables maliciosos desarrollados en .NET. Cada uno tiene un objetivo distinto. Uno de ellos (RTDONT) es utilizado para evadir mecanismos de seguridad, mientras que el otro (JLAIVE) es utilizado para ejecutar el payload final en memoria y generar persistencia.

RTDONT

Este ejecutable desarrollado con el framework Microsoft .NET. tiene como finalidad, evadir las medidas de seguridad del sistema operativo. En principio, se encuentra totalmente ofuscado, particularmente en la secciones en donde se invocan a las diversas API de Windows. A continuación se visualiza la función principal utilizada para desofuscar las llamadas a las API de Windows:

Imagen 7 – Método para desofuscar las llamadas de las API de Windows empleado por RTDONT

Una vez que cada una de estas llamadas es desofuscada se puede visualizar la verdadera funcionalidad de este componente. Cabe destacar que para poder evadir estas medidas de seguridad utilizará tres técnicas conocidas dentro del ámbito de la Seguridad Ofensiva, como son:

• Process Unhooking: consiste en cargar una copia de la biblioteca dinámica de dll para luego poder modificar su contenido y así evadir las medidas de seguridad empleadas por el sistema operativo.

NOTA: Para tener una información más detallada sobre este proceso recomendamos leer la sección Técnica de Process Unhooking

• Modificación de AmsiScanBuffer: A través del método AmsiScanBuffer que se encuentra en la DLL amsi.dll, el atacante modifica el resultado de Antimalware Scan Interface (AMSI) para que siempre devuelva el valor AMSI_RESULT_CLEAN.

Ilustración 8 – Técnica de evasión AmsiScanBuffer empleado por RTDONT.dll

• Modificación de EtwEventWrite: A través del método EtwEventWrite (ETW – Event Tracing for Windows) que se encuentra en la DLL ntdll.dll se suspende para que no realice ninguna acción de rastreo o registro de eventos de aplicaciones.

Ilustración 9 – Técnica de evasión empleada por EtwEventWrite en RTDONT.dll

De esta forma, los cibercriminales logran evadir las medidas de seguridad de Microsoft Windows para evitar la ejecución de código malicioso desarrollado en PowerShell. Incluso podrían llegar a evadir alguna solución de seguridad EDR que utilice los eventos que son escritos por medio de la función EtwEventWrite.

JLAIVE

Este ejecutable desarrollado con el framework Microsoft .NET actua comodropper, pero no solo va a permitir ejecutar el payload final, sino que tambien añade funcionalidad de persistencia para asegurarse la ejecución del mismo.

Al igual que RTDONT, el código se encuentra totalmente ofuscado con operaciones matemáticas de la biblioteca de Math de C# como Abs, MinValue y MaxValue.

Imagen 10 – Método de ofuscación empleado por JLAIVE.exe

En su mayoría, las diversas API de Windows que son invocadas por JLAIVE se encuentran ofuscadas por el método anteriormente descripto.

AL desofuscar el código malicioso pudimos observar la siguiente lógica:

• En principio se verifica si el código malicioso está siendo ejecutado. En tal caso se invocará el método Mutex();. Este tipo de objeto se utiliza para controlar el acceso a un recurso compartido y en este caso se asegura que el malware corra una sola vez en la maquina infectada. En caso de que esto no sea así, finaliza el proceso.
• Al ingresar a la carpeta recursos podemos observar que dentro del ejecutable se encuentra un nuevo archivo denominado “JLAIVE_P”. Esto nos indica que se podría tratar del payload final.

Ilustración 11 – Recurso de JLAIVE_P dentro de JLAIVE.EXE

• Al ejecutarse por primera vez se invocará al método smethod_1. El objetivo es crear persistencia dentro de la máquina de la víctima generando un archivo desarrollado en Visual Basic.

Imagen 12 – Persistencia a través de HlarxQbqxv.bat

• Para poder generar persistencia llamará al método smethod_6. El objetivo en este caso será evaluar a través del valor de (SID) qué tipo de usuario es la víctima.

Imagen 13 – Evaluación de JLAIVE del tipo de usuario en el sistema operativo para generar persistencia.

• En caso de que el método se encuentre con el valor de 544, que corresponde al perfil de  “Administrador”, la pieza de código malicioso generará persistencia a través de una instancia del intérprete de comandos cmd.
• Caso contrario se creará un registro de Windows (HKCU) en  “SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN“, con el nombre de RuntimeBroker_HlarxQbqxv con los comandos generados en el archivo anterior:

Ilustración 14 – Clave de registro HKCU para generar persistencia

• Luego de generar persistencia el código malicioso original se eliminará y se copiará bajo el nombre de HlarxQbqxv.bat en modo oculto dentro de la carpeta de C:\Users\[USER]\AppData\Roaming. Tal como se observa en la siguiente imagen:

Imagen 15 – JLAIVE copia el archivo HlarxQbqxv.bat en C:\Users\[USER]\AppData\Roaming para generar persistencia.

• Luego de asegurarse la persistencia, el siguiente paso es la ejecución del payload final en memoria a través de diversos métodos. Para ello primero se obtendrá el recurso “JLAIVE_P” y se realizará una operación de XOR con el string “JLAIVE_PXEBpSxpMzZOqKtVUHdhAJevJVpJbtUU”. Luego con el resultado se descomprimirá el payload y se copiará en memoria.

Imagen 16 – Ejecución de JLAIVE.dll en memoria.

A continuación compartimos una descripción del payload final: AsyncRAT.

Etapa 3: AsyncRAT

AsyncRAT es una herramienta de acceso remoto (RAT, por sus siglas en inglés) desarrollada con el framework Microsoft .NET. Si bien es una herramienta de código abierto y legítima disponible en Git-Hub, lamentablemente como sucede con muchas otras herramientas, es aprovechada para fines delictivos, como tener acceso y control total de los equipos de las víctimas.

Cuando AsyncRAT es utilizado con fines maliciosos suele distribuirse a través de malspam. Una vez instalado en el sistema, AsyncRAT se ejecuta en segundo plano y se conecta a un servidor remoto para recibir instrucciones y permitir el acceso remoto a la máquina infectada.

Algunas de las características y capacidades de AsyncRAT incluyen:

• Control remoto completo del sistema infectado.
• Capacidad para ejecutar comandos y acceder a archivos y carpetas en el sistema.
• Capacidad para capturar y transmitir imágenes de la pantalla.
• Capacidad para registrar las pulsaciones del teclado.
• Capacidad para descargar y ejecutar archivos adicionales.

Por otro lado, la muestra de AsyncRAT detectada en esta campaña, guarda su configuración en una sección de sus recursos, llamada “SETTINGS”, que está cifrada con el algoritmo de cifrado AES-256 y utiliza la siguiente clave “craNOQFKkuDJdqNUaezYtAIn1MfHb9Mo”.

Imagen 17 – Configuración de AsyncRAT cifrada en AES-256

Nota: Los atacantes con la primera dll (JLAIVE.dll) buscan generar persistencia e inyectar en memoria el payload final.

Al comparar una versión de AsyncRAT disponibles para su descarga gratuita con la versión utilizada en esta campaña podemos apreciar la similitud de ambos códigos, lo que nos permite afirmar que los atacantes utilizaron este mismo código para desplegar la amenaza, tal como se observa en la imagen siguiente:

Imagen 18 – A la izquierda el código malicioso utilizado en la campaña. A la derecha el código encontrado en un repositorio de códigos en internet.

Conclusión

Operación Absoluta es una nueva campaña de espionaje apuntando al sector privado y organismos gubernamentales de Colombia que busca desplegar el troyano AsyncRAT para robar información de las víctimas. Esta malware puede ser peligroso, ya que permite a los atacantes tomar control de un sistema infectado y utilizarlo para exfiltrar información o incluso instalar en los equipos comprometidos algún otro tipo de código malicioso. Desde el Laboratorio de Investigación de ESET Latinoamérica hemos reportado varias campañas en los dos últimos años que utilizan este tipo de commodity malware para realizar operaciones de espionaje, como fueron las campañas Bandidos y Operación Spalax en 2021 apuntando a blancos de alto perfil de Venezuela y Colombia respectivamente, y luego en 2022 Operación Discordia y Operación Pulpo Rojo, la primera contra empresas y organismos gubernamentales de Colombia y la segunda contra el sector privado y organismos públicos de Ecuador.

Mas allá de que Operación Absoluta es una campaña de espionaje orientada a Colombia, son cada vez los grupos cibercriminales que utilizan este tipo de modus operandi para infectar a los usuarios. El hecho de que se utilice código malicioso de código abierto para infectar a los usuarios no hace menos relevante a esta campaña, sino todo lo contrario, ya que esto nos asegura que cada vez son más las probabilidades de que las empresas tanto públicas como privadas dentro de América Latina sean afectadas y vulneradas.

Indicadores de compromiso

Registros

A continuación, se listan posibles registros que pueden ser manipulados por los códigos maliciosos utilizados en esta campaña:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Value Name: RuntimeBroker_HlarxQbqxv
  • Value Data: wscript.exe “C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.vbs”

Persistencia                                                                                             

A continuación, se listan las rutas donde pueden persistir algunos archivos utilizados en esta campaña:

• C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.bat
• C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.vbs

Hashes, sitios web y C&C

Hashes de muestras analizadas:

• CamScanner-165962620.rar: 1AC5F6001107C90610171E66894BB93EE575656D
• Transaccion bancaria.bat: 64EFA2CE952F1616F185DAA26FF84C6D99CF50C1 — BAT/Agent.PRS
• Jlaive.exe: 3069F1D30DFE6A3F5EB06CBEE8FB7CD14CC32504 — MSIL/Kryptik.AHCQ
• RTDONT.exe: CD65222614DCBC8D22072C5B68C4E6B1939DF8E2 — MSIL/Kryptik.AHCR
• Cliente1.exe: 1E6B3B48D7FC0594CE163254C0DE4C0F8449BB4A — MSIL/Agent.CFQ

URLs obtenidas en las muestras analizadas:

• https[:]//docs[.]google[.]com/uc?export=download&id=1eFOJXaElHnr4F1620Mbihj9u-RrJ43JV

Dominios e IP detectados en las muestras analizadas:

• bmxfghsh[.]duckdns[.]org:8026
• 177[.]255[.]91[.]167

Técnica de Process Unhooking

Tal como se desarrolló al inicio, el cibercriminal desarrollo una librería en .NET con el objetivo de evadir la seguridad del sistema operativo; una de las técnicas empleadas se denomina Process Unhooking (del inglés desconexión de procesos), para ello se realizaron las siguientes acciones maliciosas:

1. Mediante el uso de la funciones de las API de Windows GetModuleInformation y GetCurrentProcess obtiene informacion del módulo de  ntdll.dll.
2. Luego lee el contenido de la librería de ntdll.dll por medio de las APIs de Windows  CreateFileA, CreateFileMapping, y MapViewOfFil.
3. A través de la utilización de VirtualProtect se cambian los permisos de memoria, de modo que pueda modificar el contenido de la misma.
4. Con la utilización de la función memcpy copia el contenido de la librería descripta en el paso 2 sobre la librería cargada en el paso 1.
5. Finalmente, con VirtualProtect vuelve a cambiar los permisos de memoria de la sección de código a su valor original.

A continuación, se puede visualizar cada una de las llamadas dentro del código malicioso desarrollado por el cibercriminal:

Ilustración 19 – Process Unhooking empleado por RTDONT.dll

Técnicas MITRE ATT&CK

A continuación, se listan las técnicas utilizadas en esta campaña utilizando el framework MITTRE ATT&CK:

Fuente: www.welivesecurity.com

ESET Threat Report T3 2022 es un informe donde analizamos el panorama de las amenazas informáticas durante el último cuatrimestre de 2022 según los datos de la telemetría de ESET y los expertos en investigación y detección de amenazas.

En 2022, un ataque no provocado e injustificado contra Ucrania conmocionó al mundo, con efectos devastadores para el país y su población. Al día de hoy la guerra continúa impactando todo, desde los precios de la energía y la inflación hasta el ciberespacio, el cual ha sido monitoreado durante todo el año por el equipo de investigación y análisis de ESET.

Entre los efectos que hemos observado en el ciberespacio, la escena del ransomware experimentó algunos de los cambios más importantes. Desde que comenzó la invasión de Rusia a Ucrania hemos visto una división entre los operadores de ransomware. Mientras algunos apoyan esta agresión, otros se oponen. Los atacantes también han estado utilizando tácticas cada vez más destructivas, como el uso de malware del tipo wiper que imitan la forma de operar de códigos maliciosos como el ransomware y cifran los datos de la víctima sin intención de proporcionar la clave de descifrado.

En América Latina se registró una disminución de las amenazas informáticas en su conjunto durante el tercer cuatrimestre de 2022. Las amenazas más detectadas corresponden a archivos HTML maliciosos incluidos en correos de phishing y a un exploit que busca sacar provecho de una vulnerabilidad de 2017 en Microsoft Office clasificada como CVE-2017-11882.

Detecciones de amenazas informáticas en LATAM durante el tercer cuatrimestre de 2022.

En cuanto a las detecciones de ransomware en la región de LATAM, las mismas disminuyeron considerablemente durante los últimos cuatro meses de 2022. El ransomware STOP lideró las detecciones con el 35%. Este ransomware suele distribuirse a través de cracks de programas, libros y otros tipos de descargas en sitios falsos o vía Torrent.

Detecciones de ransomware en América Latina durante los últimos cuatro meses de 2022.

Como leerá en el Informe ESET Threat Report T3 2022, la guerra también afectó los ataques de fuerza bruta contra los servicios RDP expuestos, que cayeron en picada en 2022. Otros factores que podrían haber contribuido a esta caída, además de la guerra, son: un disminución del trabajo remoto, una mejor configuración de estos servicios y la aplicación de contramedidas por parte de los departamentos de TI de las empresas, y una nueva función de bloqueo contra ataques de fuerza bruta incluida en Windows 11. La mayoría de los ataques al protocolo RDP detectados en 2022 se originaron en direcciones IP rusas.

Incluso con la disminución de los ataques al RDP, los ataques buscando descifrar contraseñas seguían siendo el vector más elegido en el tercer cuatrimestre de 2022. Y a pesar de que los parches para corregir la vulnerabilidad Log4J estaban disponibles desde diciembre de 2021, la explotación de esta vulnerabilidad aún ocupaba el segundo lugar en el ranking de los vectores de intrusión externa. Varias amenazas dirigidas al ecosistema cripto se vieron afectadas por la caída en picada del valor de las criptomonedas y por el aumento de los precios de la energía. Si bien las detecciones de malware para robar criptomonedas (cryptostealers) y para minar criptomonedas (cryptominers) disminuyeron, las estafas dirigidas a usuarios de criptoactivos resurgieron: durante el último cuatrimestre de 2022 aumentaron un 62% los sitios web de phishing bloqueados por ESET que utilizaban el tema de las criptomonedas, y el FBI emitió recientemente una advertencia sobre un aumento de los esquemas de inversión en criptomonedas.

En diciembre y con la llegada de los días festivos se registró un aumento de las campañas de phishing que se hacían pasar por tiendas en línea, ya que las personas que compran regalos en línea representan un objetivo muy lucrativo para los ciberdelincuentes. Y cuando los desarrolladores de videojuegos para dispositivos móviles publicaron nuevos lanzamientos antes de la temporada navideña, los atacantes aprovecharon el interés que esto generó para cargar versiones maliciosas modificadas de estos videojuegos en tiendas de apps de terceros. A su vez, hemos observado un aumento significativo en las detecciones de adware para Android durante los último cuatro meses de 2022.

La plataforma Android también experimentó un aumento del spyware a lo largo del año debido al fácil acceso a los kits de spyware, los cuales son ofrecidos en varios foros en línea y que son utilizados por atacantes aficionados. Y aunque las detecciones generales para el malware que roba información (infostealers) tendieron a la baja tanto en el último cuatrimestre como en todo 2022, el malware bancario fue una excepción y las detecciones que se duplicaron con respecto a 2021.

En América Latina las amenazas dirigidas a Android registraron un crecimiento importante en los últimos cuatro meses de 2022. En especial las detecciones de aplicaciones maliciosas que se hacen pasar por apps legítimas y que tienen como objetivo descargar otras aplicaciones maliciosas en el equipo infectado.

Por otra parte, Brasil y México están entre los países en los que se detectó la mayor cantidad de Amenazas para Android a nivel global. De acuerdo a la telemetría de ESET, durante el tercer cuatrimestre de 2022 los países en los que se registró la mayor cantidad de detecciones fueron Brasil (8.5%), Ucrania (7.6%), México (7.3%), Rusia (6.6%), Turquía (5%), y Estados Unidos (4%).

Aumento de las detecciones de amenazas dirigidas para Android en LATAM durante el último cuatrimestre de 2022.

Hallazgos clave del equipo de investigación de ESET

Los últimos meses de 2022 estuvieron repletos de hallazgos interesantes por parte del equipo de investigación de ESET. Nuestros expertos descubrieron una campaña de spearphishing del grupo de APT MirrorFace dirigida a entidades políticas japonesas de alto perfil y un nuevo ransomware llamado RansomBoggs, que todo parece indicar que tiene como responsable al grupo Sandworm, que fue utilizado contra múltiples organizaciones en Ucrania. El equipo de investigación de ESET también descubrió una campaña realizada por el infame grupo Lazarus en la cual se dirige a sus víctimas con correos electrónicos de phishing que contienen documentos con ofertas de trabajo falsas. Uno de los señuelos fue enviado a un empleado de una empresa aeroespacial. En cuanto a los ataques a la cadena de suministro, encontramos un nuevo wiper y su herramienta de ejecución, los cuales atribuimos al grupo de APT Agrius, que ha sido utilizado contra usuarios de un paquete de software israelí que se utiliza en la industria del diamante.

Como siempre, los investigadores de ESET aprovecharon múltiples oportunidades para compartir su experiencia en conferencias como AVAR, Ekoparty y otras. En estos eventos los especialistas profundizaron en los aspectos técnicos de la mayoría de los descubrimientos antes mencionados. Para los próximos meses, nos complace invitarlo a las charlas de ESET en Botconf, RSA Conference y otras.

Invitamos a leer el ESET Threat Report T3 2022.

Fuentes: www.welivesecurity.com

Los ataques de malware son habituales hoy en día, se ejecutan en cuestión de minutos y causan daños durante semanas o meses. La detección rápida y la respuesta rápida y eficaz a los incidentes son esenciales en esta situación.

Hoy hablaremos de cinco casos de uso de cómo puede ayudar un sandbox de malware, para que pueda evitar cualquier amenaza y descubrir la verdad detrás de los archivos insidiosos.

¿Qué es un sandbox de malware?

El sistema de seguridad de cualquier empresa implica varias capas de protección. Una caja de arena es una de las etapas, y el sistema de seguridad moderno estaría incompleto sin ella. La herramienta ayuda a resolver las tareas forenses digitales y de respuesta a incidentes.

Un sandbox de malware es una herramienta para la ejecución de programas sospechosos en el entorno virtual, seguro para el ordenador. Y un servicio interactivo permite cualquier manipulación con la muestra analizada y el SO dentro de la máquina virtual. Puede trabajar con una muestra sospechosa directamente como si la abriera en su ordenador personal: hacer clic, abrir, reiniciar.

Hay situaciones en las que los archivos maliciosos o un enlace permanecerán inactivos o no mostrarán su verdadera naturaleza. Y el uso de otras herramientas de seguridad será insuficiente o requerirá mucho tiempo.

Por ejemplo, algunas muestras de malware sólo se ejecutan si se cumplen ciertas condiciones.

Los troyanos bancarios pueden activarse si un usuario visita un determinado sitio web de banca online. Y gracias a la interactividad, los analistas pueden reunir más indicadores de compromiso.

Algunos programas maliciosos tienen archivos con nombres distintivos o claves de registro. Los especialistas en ciberseguridad pueden añadirlos en una caja de arena para obtener más IOC: comprobar el idioma del maldoc, cambiar la configuración regional del sistema y reiniciar tareas.

Trabajar con una muestra directamente permite probar múltiples variantes de ejecución. De este modo, los analistas pueden obtener datos rápidamente.

Caso de uso 1. Seguir un enlace y archivos maliciosos en tiempo real

El primer paso cuando se recibe un correo electrónico con un enlace o un archivo adjunto es detenerse y no hacer nada. A continuación, échale un vistazo: las faltas de ortografía, el nombre del remitente, los saludos, el nombre del archivo. Una vez que decidas que puede ser una estafa, ve directamente a un sandbox.

Caso de uso 2. Análisis del flujo de red de archivos y enlaces maliciosos

Imagina que recibes un archivo PDF con una imagen o texto señuelo. Hace clic en un enlace y recibe una invitación para descargar un archivo con un nombre largo o con guiones bajos adicionales.

Una vez abierto el archivo, has instalado un malware que puede robar información sensible, o puede ser parte de un ataque más importante, por ejemplo, un ransomware.

Caso de uso 3. Análisis del cambio de localidad

Varios programas maliciosos dejan de funcionar si el sistema carece de un determinado idioma, hora o moneda.

Caso de uso 4. Apoyo al reinicio

Varias familias de malware entran en la fase activa sólo después de un reinicio del sistema para evitar su detección. Al reiniciar el sistema operativo con ANY.RUN los analistas pueden identificar una ciberamenaza, observar el comportamiento del malware y recopilar indicadores adicionales de compromiso.

El archivo ejecutable descargado en la muestra de Nanocore se añade a la carpeta de inicio y detiene la ejecución del sistema operativo. Este sencillo truco es ampliamente explotado para eludir la detección de los antivirus.

Caso de uso 5. Acceso instantáneo al análisis y resultados rápidos

Los especialistas en seguridad informática deben reaccionar lo más rápidamente posible en caso de incidente. El tiempo es esencial. Y el primer paso para mejorar la seguridad es la rapidez de los resultados del análisis de malware.

Fuente: www.somoslibres.org

Cibercriminales han estado apuntando con malware para espiar a empresas y organismos gubernamentales de Ecuador.

El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.

Países a los que afectó la campaña

Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.

Correos de phishing que utiliza la campaña

La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.

Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.

Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.

Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:

• DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
• TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
• PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
• JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
• FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
• VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
• Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
• PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Etapas de la campaña

En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:  

1. Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección. 
2. Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.  

Capacidades de Remcos

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:

• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado por el usuario (Keylogging)
• Grabar audio
• Manipular archivos
• Ejecutar remotamente comandos en una máquina
• Ejecutar remotamente scripts en una máquina

Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.

Cómo estar protegido

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.

Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.

Fuente: www.welivesecurity.com

¿Tu PC ha sido infectada con un malware? Repasamos las principales señales que te ayudarán a reconocer si tu PC ha sido comprometida y compartimos algunos consejos prácticos de cómo solucionarlo.

Los ciberdelincuentes a nivel global ganan miles de millones de dólares cada año. Gran parte de su éxito está relacionado con saber aprovechar los errores que cometemos las personas: hacer clic en enlaces de phishing, olvidarse de actualizar software crítico y no utilizar la autenticación multifactor (MFA). Actualmente los actores maliciosos tienen a disposición muchos recursos, como un suministro interminable de datos de identidad robados para usar, y un sinnúmero de sitios de cibercrimen en los que es posible intercambiar datos robados, herramientas y servicios de cibercrimen.

Cuanto antes te enteres que has sido infectado con un virus o algún otro tipo de malware, mejor. Ya que cuanto más tiempo pase, más daño podrán hacer los delincuentes y las consecuencias pueden resultar más caras. Es por eso que tiene sentido tomar la delantera y realizar algunos unos chequeos. En América Latina, el 24% de las organizaciones que en el último año sufrieron un incidente de seguridad fueron víctimas de una infección con malware. No esperes a que sea demasiado tarde para tomar medidas.

10 señales de que tu PC puede haber sido infectada con malware

Los cibercriminales no suelen hablar en público de sus ataques. Para ellos la clave está en permanecer ocultos. Cuanto más tiempo pase la víctima sin saber que ha sido comprometida, más tiempo tienen los atacantes para monetizar el acceso a la red y a las cuentas en línea.

Por eso, a continuación compartimos una lista con algunas de las señales que podrían indicar que tu computadora ha sido infectada con malware:

• Recibes un mensaje de que has sido infectado con ransomware

Empecemos con lo más obvio. Si enciendes tu PC y en lugar de la pantalla de inicio habitual encuentras un archivo de texto que contiene una nota indicando que debes pagar un rescate para recuperar tus archivos, hay altas probabilidades de que te hayas convertido en una víctima del ransomware. Por lo general, los grupos de ransomware suelen dar un corto plazo a las víctimas para que paguen, además de instrucciones de cómo hacer el pago en criptomonedas. La mala noticia es que, incluso si sigues las instrucciones al pie de la letra y pagas, hay grandes posibilidades de que no recuperes el acceso a esos archivos cifrados.

• La computadora funciona lenta

Cuando un malware – incluyendo troyanos, gusanos y mineros de criptomonedas – se instala en una PC, a menudo ralentizan la máquina. Esto es así sobre todo con algunos tipos de malware, como es el caso de los mineros de criptomonedas o coinminers, que son utilizados para realizar ataques de cryptojacking que utilizan el poder de procesamiento de la computadora para minar criptomonedas. Si bien el funcionamiento lento de una computadora puede ser como consecuencia de factores no maliciosos, como una mala higiene de la PC, es mejor verificar para descartar la posibilidad de una infección.

• La webcam se enciende sola

Algunos spyware instalados por los cibercriminales están diseñados no solo para recolectar datos de tu PC, sino también para activar en secreto la cámara web y el micrófono. Hacerlo podría permitir a los ciberdelincuentes grabar y robar videos tuyos y de tu familia, con el riesgo de que puedan utilizarlos en intentos de extorsión. Mantén un ojo en la luz de la cámara web para comprobar si se activa sola. O, mejor aún, desactívala completamente pegándole una cinta encima.

• Tus contactos reciben mensajes no solicitados desde tus cuentas

Otra señal clara de que tu PC se ha visto comprometida es si tus amigos y contactos empiezan a quejarse de spam proveniente de tus cuentas de correo electrónico o redes sociales. Una táctica clásica de phishing es secuestrar las cuentas de las víctimas y luego utilizarlas para enviar spam o correos de phishing a todos tus contactos. Puedes protegerte del robo de tus cuentas fácilmente asegurándote de que todas tus cuentas estén protegidas con la autenticación en dos pasos, también conocida como doble factor de autenticación o 2FA, por sus siglas en inglés.

• Se despliegan muchos anuncios a través de ventanas emergentes

El adware es un tipo de programa no deseado que utilizan los atacantes para ganar dinero al exponer a las víctimas a un excesivo volumen de anuncios. Así que si en tu computadora se despliegan constantemente ventanas emergentes mostrando anuncios invasivos, esto podría indicar la presencia de adware en tu equipo.

• Aparecen nuevas herramientas en la barra de herramientas del navegador

El malware también puede instalar complementos o extensiones en la barra de herramientas de tu navegador. Si detectas alguno que no reconoces o que no recuerdas haber instalado, podría significar que tu PC ha sido comprometida. Puede ser necesario restaurar tu PC a su configuración de fábrica para eliminarlos si te enfrentas a una infección con malware. Si se trata de una aplicación potencialmente no deseada (PUA, por sus siglas en inglés), puede que no se necesite una medida tan drástica. Eliminar la aplicación y la barra de herramientas podría ser suficiente en este caso.

• Comienzan a aparecer iconos aleatorios

Cuando el malware se instala en una PC que ha sido comprometida, a menudo aparecen nuevos iconos en el escritorio. Estos se pueden detectar fácilmente, siempre y cuando el escritorio en sí esté perfectamente organizado en un pequeño número de archivos, carpetas y programas. Si tu escritorio está repleto de archivos, considera ordenarlo para poder detectar más fácilmente cualquier ícono sospechoso que aparezca en tu PC.

• Las contraseñas/inicios de sesión dejan de funcionar

Si los atacantes han logrado comprometer tu PC, puede que hayan robado las credenciales de acceso a varias de tus cuentas en línea, como tu correo electrónico, y que luego hayan cambiado la contraseña para impedir que puedas acceder. Tener que lidiar con escenario así puede ser una de las partes más estresantes de cualquier ciberataque, ya que deberás reportar el robo de cada una de tus cuentas. Además, si el ataque puede poner en riesgo las cuentas de terceros, como pueden ser clientes, socios o cuentas de empleados, deberás comunicarte con los posibles afectados.

• Datos y credenciales de inicio de sesión están circulando en la dark web

Si alguna vez recibes un aviso de violación de datos de una empresa o servicio con el que tienes algún tipo de relación, siempre tómalo en serio e intenta verificarlo por tu cuenta. Sitios como HaveIBeenPwned proporcionan información de direcciones de correo y contraseñas que han sido filtradas como consecuencia de una brecha o exposición de datos. Existen también herramientas de monitoreo de la dark web que permiten buscar tus datos en foros de cibercrimen para mantenerte información de forma más proactiva. Si actúas rápidamente, cambiando contraseñas y/o llamando al banco para que bloquee tus tarjetas, puedes mitigar el riesgo antes de que los actores malintencionados hayan sido capaces de monetizar un ataque.

• Recibes advertencias de un software de seguridad de que has sido infectado

Las advertencias que nos muestran las herramientas antimalware también deben tomarse en serio, aunque también es importante tener en cuenta que es común que los atacantes desplieguen falsos mensajes alertando a la persona que el equipo ha sido infectado y utilizando el nombre de reconocidos software de seguridad. Por eso es importante comprobar en primer lugar que el mensaje es legítimo y que realmente proviene del software de seguridad informática. De ser así, sigue las instrucciones para tratar de encontrar y eliminar los archivos maliciosos en tu PC. No asumas que la advertencia significa que el software antivirus eliminará automáticamente de la PC esa amenaza específica.

¿Qué pasa después?

Pase lo que pase, no te asustes. Si tu PC ha sido comprometida, ejecuta una herramienta antimalware de un proveedor de buena reputación para tratar de encontrar y eliminar cualquier código malicioso que haya sido instalado. Luego considera realizar lo siguiente:

• Modifica todas las contraseñas de aquellas cuentas a las que has accedido desde esa PC
• Descarga una aplicación de MFA para reducir el riesgo de que un actor malicioso pueda comprometer alguna de tus cuenta
• Invierte en una herramienta de monitoreo de la dark web para verificar qué datos han sido robados y/o expuestos
• Congela la posibilidad de solicitar un crédito para que los ciberdelincuentes no puedan obtener nuevas líneas de crédito a tu nombre
• Monitorea todas tus cuentas para detectar actividades sospechosas, especialmente las cuentas bancarias

Si no está seguro de haber eliminado por completo un código malicioso de tu PC, considera realizar la modificación de tus contraseña desde un dispositivo alternativo. Ponte en contacto con tu proveedor de software de seguridad o banco para obtener más información.

Fuente: www.welivesecurity.com

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

El cibercrimen es una máquina bien aceitada que vale billones de dólares al año. Ocultos de las fuerzas de seguridad y de la mayoría de los consumidores, los ciberdelincuentes frecuentan sitios de la dark web donde compran y venden grandes cantidades de datos robados, así como las herramientas necesarias para obtenerlos. Se cree que hay hasta 24 mil millones de nombres de usuario y contraseñas obtenidos ilegalmente que circulan actualmente en dichos sitios. Entre los más buscados se encuentran los datos de tarjetas nuevos, que luego los estafadores compran a granel para cometer fraude de identidad.

En los países que han implementado sistemas de chip y PIN (también conocidos como EMV), es un desafío convertir estos datos en tarjetas clonadas. Por eso son más comunes los ataques en línea dirigidos a transacciones sin tarjeta (CNP). Los estafadores podrían usarlos para comprar artículos de lujo para su posterior venta, o potencialmente podrían comprar tarjetas de regalo a granel, que es otra forma popular de lavar fondos obtenidos ilícitamente. La escala del mercado de tarjetas es difícil de estimar. Pero los administradores de la tienda clandestina más grande del mundo se retiraron recientemente después de ganar aproximadamente 358 millones de dólares.

Con esto en mente, a continuación explicamos cuáles son las cinco formas más comunes en que los ciberdelincuentes buscan obtener los datos de tarjetas de crédito de las personas y cómo detenerlos:

1. Phishing

El phishing es una de las técnicas más utilizadas por los ciberdelincuentes para robar datos. En su forma más simple, es un engaño en el que el cibercriminal se hace pasar por una entidad legítima (por ejemplo, un banco, un proveedor de comercio electrónico o una empresa de tecnología) para engañar a un usuario y convencerlo para que ingrese sus datos personales o descargue malware sin darse cuenta. Estos correos o mensajes de phishing suelen alentar a las personas a hacer clic en un enlace o abrir un archivo adjunto. A veces, hacerlo lleva al usuario a una página falsa que parece legítima, donde se solicitará que ingrese información personal y financiera. Para tener en cuenta la vigencia que tiene pese a ser una forma de ataque muy conocida, el phishing alcanzó el máximo histórico en el primer trimestre de 2022, algo que ya había sucedido en 2021.

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

Con los años el phishing ha ido evolucionado dando lugar a formas de ataque similares. En lugar de un correo electrónico, las víctimas puede también recibir un mensaje texto (SMS) malicioso, conocido como smishing, donde un ciberdelincuente se puede hace pasar, por ejemplo, por una empresa de entrega de paquetería, una agencia gubernamental u otra organización de confianza. Los estafadores pueden incluso llamarlo telefónicamente, en una forma de ataque conocida como vishing, donde nuevamente fingen ser una fuente confiable con el objetivo de convencer al individuo para que comparta los detalles de su tarjeta. El smishing se duplicó en 2021, mientras que el vishing también aumentó.

2. Malware

El mercado clandestinidad del cibercrimen es enorme, y no solo se comercializan datos, sino también malware. A lo largo de los años se han desarrollado diferentes tipos de códigos maliciosos diseñados para robar información. Algunos de estos códigos lo que hacen es registran las pulsaciones del teclado de la víctima; por ejemplo, mientras escribe los detalles de la tarjeta en un sitio de comercio electrónico o bancario. ¿Cómo hacen los cibercriminales para colocar estos programas maliciosos en nuestras máquinas?

Los correos de phishing o mensajes de texto son un método muy común. También los anuncios maliciosos. En otros casos pueden comprometer un sitio web que recibe muchas visitas y esperar a que los usuarios lleguen al sitio para infectarlos. Ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio comprometido. El malware que roba información también suele estar oculto dentro de aplicaciones móviles maliciosas que parecen legítimas.

3. Web skimming

A veces, los ciberdelincuentes también instalan malware en páginas de pago de sitios de comercio electrónico legítimos. Estos códigos maliciosos son invisibles para el usuario, pero sustraerán los detalles de la tarjeta a medida que son ingresados. No hay mucho que los usuarios puedan hacer para mantenerse seguros, aparte de comprar en sitios confiables y que utilicen aplicaciones de pago de renombre, que probablemente sean más seguros. Las detecciones de web skimmers aumentaron un 150% entre mayo y noviembre de 2021.

4. Filtraciones de datos

A veces, los datos de las tarjetas se obtienen no de los usuarios, sino directamente de empresas con las que se hace algún tipo de transacción o negocio. Podría ser desde un proveedor de atención médica, una tienda en línea o una empresa de viajes. Esta forma de obtener datos es más rentable desde la perspectiva de los delincuentes, porque a través de un ataque se obtiene acceso a una gran cantidad de datos.

Por otro lado, con las campañas de phishing, si bien son ataques se lanzan de forma automatizada, tienen que robar a los individuos uno por uno.

5. Redes Wi-Fi públicas

Cuando estás fuera de casa es tentador puede resultar tentador navegar por la web utilizando puntos de acceso Wi-Fi públicos: ya sea en aeropuertos, hoteles, cafeterías y otros espacios compartidos. Incluso si tienes que pagar para unirte a la red, es posible que no sea seguro si los delincuentes han hecho lo mismo. Pueden usar el acceso a una red para espiar los datos de terceros a medida que son ingresados.

Cómo proteger los datos de la tarjeta de crédito

Afortunadamente, hay muchas maneras de minimizar los riesgos de que los datos de la tarjeta de crédito caigan en manos equivocadas. Considere las siguientes recomendaciones como un punto de partida:

• Esté alerta: si recibe un correo electrónico inesperado o no solicitado, nunca responda, haga clic en enlaces ni abra archivos adjuntos. Podría tratarse de un engaño que busca infectarlo con malware. O podrían llevarlo a páginas de phishing que parecen legítimas donde se solicitará que ingrese sus datos.
• No divulgue ningún detalle por teléfono, incluso si la persona al otro lado suena convincente. Pregunte de dónde están llamando y luego vuelva a llamar a esa organización para verificar. No utilice los números de contacto que le proporcionaron.
• No use Internet si está conectado a una red Wi-Fi pública, especialmente si no utiliza una VPN. No realice ninguna acción que implique ingresar los detalles de la tarjeta (por ejemplo, compras en línea).
• No guarde los detalles de la tarjeta de crédito o débito en el navegador, aunque esto le permita ahorrar tiempo la próxima vez que realice una compra. De esta manera reducirá considerablemente las posibilidades de que obtengan los datos de su tarjeta si la empresa o plataforma sufre una filtración o si un atacante logra secuestrar su cuenta.
• Instale una solución antimalware de un proveedor confiable en cada una de sus computadoras y dispositivos conectados a Internet.
• Active la autenticación en dos pasos en todas las cuentas que tengan información sensible. La autenticación en dos pasos reduce las posibilidades de que los atacantes puedan acceder a sus cuentas incluso si obtuvieron sus credenciales de acceso.
• Solo descargue aplicaciones de tiendas oficiales, como la App Store o Google Play.
• Si está haciendo alguna compra en línea, solo hágalo en sitios con HTTPS (debería mostrar un candado en la barra de direcciones del navegador junto a la URL). Esto significa que hay menos posibilidades de que los datos puedan ser interceptados.

Finalmente, una práctica siempre recomendable es monitorear los movimientos de nuestras cuentas bancarias y de nuestras tarjetas. Si detecta alguna transacción sospechosa, informe de inmediato al equipo de fraude de su banco/proveedor de tarjeta. Algunas aplicaciones ahora permiten “congelar” todos los gastos en tarjetas específicas hasta determinar si ha habido una violación de seguridad. Hay muchas formas en que los malos obtienen los datos de nuestra tarjeta, pero también podemos hacer muchas cosas para mantenerlos lejos.

Fuente: www.welivesecurity.com

Por tercera vez en pocas semanas, investigadores de ESET detectan un nuevo malware del tipo wiper previamente desconocido apuntando a organizaciones ucranianas.

Los investigadores de ESET descubrieron otro malware que destruye datos (wiper) utilizado en ataques contra organizaciones en Ucrania.

Apodado CaddyWiper por los analistas de ESET, el malware se detectó por primera vez a las 11:38 a. m. hora local (9:38 a. m. UTC) del lunes 14 de marzo. El wiper, que destruye los datos de los usuarios y de las unidades conectadas, se detectó en varias docenas de sistemas en un número limitado de organizaciones. Los productos ESET detectan este malware como Win32/KillDisk.NCX.

CaddyWiper no presenta similitudes en el código importantes en comparación con HermeticWiper o IsaacWiper, los otros dos nuevos wipers de datos que han afectado a organizaciones en Ucrania desde el 23 de febrero.

Un nuevo wiper cada semana

En las últimas tres semanas, es la tercera vez que los investigadores de ESET detectan una muestra previamente desconocida de malware que borra datos apuntando a organizaciones en Ucrania.

En la víspera de la invasión de Rusia a Ucrania, la telemetría de ESET detectó a HermeticWiper en las redes de varias organizaciones ucranianas de alto perfil. Estas campañas también desplegaron a HermeticWizard, un gusano personalizado utilizado para propagar HermeticWiper dentro de las redes locales, y a HermeticRansom, un ransomware utilizado como señuelo.

Al día siguiente, comenzó un segundo ataque destructivo contra una red gubernamental ucraniana, esta vez desplegando IsaacWiper.

Ucrania en la mira

En enero de este año, otro wiper de datos, llamado WhisperGate, limpió las redes de múltiples organizaciones en Ucrania.

Estas campañas son solo las últimas de una larga serie de ciberataques que han alcanzado objetivos de alto perfil de Ucrania durante los últimos ocho años. Tal como lo exploraron los investigadores de ESET en un webinario en inglés publicado recientemente, desde 2014 a esta parte Ucrania ha sido el blanco receptor de una serie de ataques cibernéticos altamente disruptivos, incluido el ataque NotPetya que atravesó las redes de varias empresas ucranianas en junio de 2017 antes extenderse a otros países.

ESET Research ahora ofrece un informe de inteligencia de APT privado y una fuente de datos. Por cualquier consulta acerca de este nuevo servicio o investigación publicada en WeLiveSecurity, contáctenos en threatintel@eset.com.

Fuente: https://www.welivesecurity.com/