Kaspersky  alerta sobre campañas contra el sector industrial

Kaspersky alerta sobre campañas contra el sector industrial

octubre 22, 2020 Desactivado Por Redacción Tecnoempresa

Kaspersky alerta sobre campañas contra el sector industrial. La nueva amenaza llamada MontysThree esta diseñada para dirigirse a documentos Microsoft y Adobe Acrobat. Puede realizar capturas de pantalla y tomar las “huellas dactilares” del objetivo a atacar.

Kaspersky ha descubierto una serie de ataques que se han realizando contra empresas industriales desde el año 2018. Este tipo de ataques contra las compañías del sector industrial es menos frecuente en el contexto de las APT, que los realizados contra las entidades diplomáticas y otros perfiles políticos.

El conjunto de herramientas utilizado (denominado MT3 por los propios autores del malware) ha sido bautizado por Kaspersky como “MontysThree”. MontysThree emplea diversas técnicas que evitan su detección; como el alojamiento de sus comunicaciones con el servidor de control en servicios públicos en la nube, que lo ocultan del módulo malicioso principal con la esteganografía.

Objetivo

Las instituciones gubernamentales, los funcionarios públicos y los operadores de telecomunicaciones son, por lo general, el objetivo preferido de las APT. Estos individuos e instituciones disponen por naturaleza de una gran cantidad de información de carácter confidencial y muy sensible desde un punto de vista político.

MontysThree despliega un malware compuesto por cuatro módulos. El primero es el cargador. Se propaga utilizando archivos RAR SFX (archivos autoextraíbles) que incluyen; nombres relacionados con los contactos de los empleados, documentación técnica y resultados médicos; con el objetivo de engañar a los empleados y conseguir que descarguen los archivos maliciosos, un método común de spear phishing. El cargador es el responsable de asegurarse de que el malware no sea detectado en el sistema. Para ello, emplea una técnica conocida como esteganografía.

Los ciberdelincuentes utilizan la esteganografía para ocultar el intercambio de datos. En el caso de MontysThree, la descarga maliciosa principal está disfrazada como un archivo bitmap (un formato destinado al almacenamiento de imágenes digitales). Si se introduce el comando adecuado, el cargador empleará un algoritmo para descifrar el contenido de la matriz de píxeles y ejecutar la carga útil maliciosa.

Cómo evita su detección

La carga maliciosa aplica varias técnicas de cifrado para evitar su detección; como el uso de un algoritmo RSA que cifra las comunicaciones con el servidor de control y descifra las principales “tareas” asignadas al malware. Entre ellas se incluye la búsqueda de documentos con extensiones específicas y en directorios concretos de la empresa.

La información recopilada, así como otras comunicaciones realizadas con el servidor de control, se alojan en Google, Microsoft y Dropbox. Este hecho dificulta su detección como malicioso. Y como ningún antivirus bloquea estos servicios, garantiza que el servidor de control pueda ejecutar los comandos de forma ininterrumpida.

Además, MontysThree utiliza un sencillo método para ganar en persistencia dentro del sistema infectado. Se trata de un modificador en la barra de inicio rápido de Windows (Windows Quick Launch). De esta forma, los usuarios ejecutan involuntariamente el malware cada vez que ejecutan aplicaciones legítimas. Por ejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápido de Windows.

Por el momento, Kaspersky no ha podido encontrar ninguna similitud entre el código malicioso o la infraestructura de MontysThree con ninguna otra APT conocida.

4