NoticiasMalware

Los documentos sobre la guerra entre Rusia y Ucrania hacen de señuelo para el ciberespionaje

Check Point Research ha identificado víctimas en Nicaragua, Venezuela, Israel, Arabia Saudí y Pakistán de los sectores gubernamental, financiero y energético.

Check Point Research ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje. Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.

Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen:

Características del malware

  • Keylogging: roba todo aquello que se introduce mediante el teclado. 
  • Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
  • Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
  • Captura de pantalla.
  • Recogida de datos del portapapeles.
  • Ejecución de comandos.

Metodología de ataque

El Machete

  1. Correo electrónico de spear-phishing con texto sobre Ucrania.
  2. Documento de Word adjunto con un artículo versado en Ucrania.
  3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
  4. Malware descargado en el PC.

Lyceum

  1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
  2. El documento ejecuta un macrocódigo cuando se cierra el documento.
  3. El archivo .exe se guarda en el PC.
  4. La próxima vez que se reinicie el PC se iniciará el malware.

SideWinder

  1. La víctima abre el documento malicioso.
  2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
  3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
  4. Malware en el PC de la víctima.

Los documentos con temática de Rusia/Ucrania se convierten en un señuelo

El Machete

Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.

Computing 818

Tu privacidad es importante para nosotros

Utilizamos cookies propias y de terceros para analizar nuestros servicios con fines analíticos, para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación y para incorporar funcionalidades de redes sociales. Puedes obtener más información sobre cookies en nuestra Política de Cookies. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas pulsando el botón “Configurar”.

x

Panel de gestión de cookies

✓ Permitir todas las cookies
✗ Denegar todas las cookies
Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar en nuestros sistemas. Usualmente están configuradas para responder a acciones hechas por usted para recibir servicios, tales como ajustar sus preferencias de privacidad, iniciar sesión en el sitio, o llenar formularios. Usted puede configurar su navegador para bloquear o alertar la presencia de estas cookies, pero algunas partes del sitio web no funcionarán. Estas cookies no guardan ninguna información personal identificable.

Cookies técnicas

✓ Permitir
✗ Denegar
Las cookies estadísticas nos permiten contar las visitas y fuentes de circulación para poder medir y mejorar el desempeño de nuestro sitio. Nos ayudan a saber qué páginas son las más o menos populares, y ver cuántas personas visitan el sitio.

Google Analytics

Ver sitio oficial
✓ Permitir
✗ Denegar
Estas cookies permiten que el sitio ofrezca una mejor funcionalidad y personalización. Pueden ser establecidas por nosotros o por terceras partes cuyos servicios hemos agregado a nuestras páginas. Si no permites estas cookies algunos de nuestros servicios no funcionarán correctamente.
✓ Permitir
✗ Denegar
Estas cookies pueden ser añadidas a nuestro sitio por nuestros socios de publicidad/medios sociales. No almacenan directamente información personal, sino que se basan en la identificación única de tu navegador y dispositivo de Internet para ofrecerle compartir contenido en los medios sociales o para mostrarte contenido o anuncios relevantes en nuestro sitio web u otras plataformas.
✓ Permitir
✗ Denegar
✓ Permitir
✗ Denegar