Las estafas online relacionadas con la ayuda a Ucrania aumentan. Los ciberdelitos que usan el tema de la guerra como señuelo, también. Check Point ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo.

Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas.

Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.

Nombre del APTOrigen APTSector al que se dirigePaíses objetivo
El MachetePaíses hispanohablantesFinanciero, Gubernamental Nicaragua, Venezuela  
LyceumLa República Islámica de IránEnergíaIsrael, Arabia Saudí 
SideWinderPosiblemente la IndiaDesconocidoPakistán

Así es el malware de la guerra Rusia – Ucrania

Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen: 

  • Keylogging: roba todo aquello que se introduce mediante el teclado.  
  • Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
  • Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
  • Captura de pantalla.
  • Recogida de datos del portapapeles.
  • Ejecución de comandos.

Metodología de ataque

El Machete 

  1. Correo electrónico de spear-phishing con texto sobre Ucrania.
  2. Documento de Word adjunto con un artículo versado en Ucrania.
  3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
  4. Malware descargado en el PC.

Lyceum

  1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
  2. El documento ejecuta un macrocódigo cuando se cierra el documento.
  3. El archivo .exe se guarda en el PC.
  4. La próxima vez que se reinicie el PC se iniciará el malware.

SideWinder 

  1. La víctima abre el documento malicioso.
  2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
  3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
  4. Malware en el PC de la víctima.

“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Recientemente, Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. Asimismo, se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto. Los investigadores han compartido los datos de ciberataques de los países y regiones de la OTAN, entre otros.

Periodista. Mezclo #tecnologia y ciencia que mejora la vida de las personas!

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.