A fines del año pasado, investigadores deESET, compañía líder en detección proactiva de amenazas, descubrieron que entre septiembre y diciembre de 2019 se llevaron a cabo de manera activa ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente. El objetivo principal de la operación era el espionaje, y en uno de los casos se intentó monetizar el acceso a la cuenta de correo de una de sus víctimas a través de un ataque conocido como BEC (del inglés Business Email Compromise).
La investigación denominada “Operacion In(ter)ception” contó con la colaboración de dos de las compañías europeas afectadas, lo que permitió obtener información sobre las técnicas utilizadas y descubrir malware previamente indocumentado. Para comprometer a sus objetivos, los atacantes utilizaron ingeniería social a través de LinkedIn para publicar ofertas de trabajo atractivas, pero falsas. “El mensaje fue una oferta de trabajo bastante creíble, aparentemente de una empresa conocida en un sector relevante. Por supuesto, el perfil de LinkedIn era falso, y los archivos enviados dentro de la comunicación eran maliciosos”, comenta Dominik Breitenbacher, el investigador de malware de ESET que analizó el malware y dirigió la investigación.
Pie de imagen:Una oferta de trabajo falsa enviada a través de LinkedIn a los empleados de una de las empresas objetivo.
Los archivos maliciosos se enviaron directamente a través de mensajes de LinkedIn o por correos electrónicos que contenían un enlace de OneDrive. Para la última opción, los atacantes crearon cuentas de correo electrónico correspondientes a sus falsos perfiles de LinkedIn.
Pie de imagen:Comunicación entre los atacantes y un empleado de una de las empresas apuntadas
Una vez que el destinatario abría el archivo, se mostraba un documento PDF con información salarial relacionada con la falsa oferta de trabajo. Mientras tanto, el malware se implementaba silenciosamente en la computadora de la víctima. De esta manera, los atacantes establecieron un punto de apoyo inicial y alcanzaron una persistencia sólida en el sistema.
Como describe ESET en su informe técnico “Operation In(ter)ception: ataques dirigidos contra compañías aeroespaciales y militares europeas“, tras establecer un contacto inicial, los atacantes desplegaron su malware personalizado de múltiples etapas, junto con herramientas de código abierto modificadas. Además de malware, los atacantes hicieron uso de tácticas conocidas como living off the land para abusar de herramientas legítimas y funciones del sistema operativo. Asimismo, se utilizaron varias técnicas para evitar la detección, incluyendo la firma de código, la recopilación de malware de manera regular y la suplantación de identidad de software y compañías legítimas.
“Los ataques que investigamos mostraron todos los signos de espionaje, con varias sugerencias que insinúan un posible vínculo con elgrupo Lázaro. Sin embargo, ni el análisis de malware ni la investigación nos permitieron obtener una idea de a qué archivos apuntaban los atacantes”, comenta Breitenbacher.
Además del espionaje, los investigadores de ESET encontraron evidencia de que los atacantes intentaron usar las cuentas comprometidas para extraer dinero de compañías que interactuaban con sus víctimas.
Entre los correos electrónicos, encontraron comunicación entre la víctima y un cliente con respecto a una factura no resuelta. Los atacantes siguieron la conversación e instaron al cliente a pagar la factura a una cuenta bancaria propia. Afortunadamente, el cliente comenzó a sospechar y se acercó a la víctima para pedir ayuda, frustrando el intento de los atacantes de llevar a cabo el ataque.
“Este intento de monetizar el acceso a la red de la víctima debería servir como otra razón para establecer defensas fuertes contra intrusiones y proporcionar capacitación en seguridad informática a los empleados. Dicha educación podría ayudar a los empleados a reconocer técnicas de ingeniería social aún menos conocidas, como las que se utilizan en la Operación In(ter)ception”, concluye Breitenbacher.
Para obtener más detalles técnicos sobre la investigación, acceda al documento técnico “Operación In(ter)ception: ataques dirigidos contra compañías europeas aeroespaciales y militares“.
En el contexto de aislamiento por el COVID-19, ESET comparte#MejorQuedateEnTuCasa, donde acerca protección para los dispositivos y contenidos que ayudan a aprovechar los días en casa y garantizar la seguridad de los más chicos mientras se divierten online. El mismo incluye: 90 días gratis de ESET INTERNET SECURITY para asegurar todos los dispositivos del hogar, una Guía de Teletrabajo, con buenas prácticas para trabajar desde el hogar sin riesgos, Academia ESET, para acceder a cursos online que ayudan a sacar el mayor provecho de la tecnología yDigipadres, para leer consejos sobre cómo acompañar y proteger a los niños en la Web.