Grupo Chafer ataca embajadas con programa casero de ciberespionaje
Investigadores de Kaspersky Lab han detectado varios intentos de infectar entidades diplomáticas extranjeras en Irán con programas espías de fabricación casera. Al parecer, los ataques usan una actualización de la puerta trasera Remexi además de varias herramientas legítimas. Remexi se ha vinculado a un presunto grupo de ciberespionaje de idioma farsi conocido como Chafer y relacionado anteriormente con la vigilancia cibernética de personas en el Medio Oriente. La elección de las embajadas para sus ataques podría sugerir un nuevo objetivo para el grupo.
Esta operación resalta cómo los agentes de amenazas en las regiones emergentes montan campañas contra objetivos de interés utilizando malware relativamente básico y de fabricación casera combinado con herramientas que se encuentran disponibles al público. En este caso, los atacantes utilizaron una versión mejorada de la puerta trasera Remexi, la cual permite administrar a distancia la máquina de la víctima.
Remexi fue detectada por primera vez en 2015 y fue utilizada por un grupo de ciberespionaje llamado Chafer para una operación de vigilancia cibernética dirigida a individuos y organizaciones en todo el Medio Oriente. El hecho de que el malware de puerta trasera utilizado en la nueva campaña tenga un código similar a las muestras Remexi conocidas, combinado con el conjunto de víctimas a las que va dirigida, ha hecho que los investigadores de Kaspersky Lab la hayan vinculado a Chafer con relativa certeza.
El malware Remexi recién descubierto es capaz de ejecutar órdenes a distancia y obtener capturas de pantalla, así como datos del navegador, que incluyen credenciales del usuario, datos e historial de inicio de sesión y cualquier texto que se haya escrito, entre otras cosas. La información robada se filtra mediante la aplicación legítima Background Intelligent Transfer Service (BITS) de Microsoft), un componente de Windows diseñado para posibilitar las actualizaciones de este sistema operativo en un segundo plano. La tendencia a combinar malware con código robado o legítimo ayuda a los atacantes a ahorrar tiempo y recursos en la creación del malware y a hacer más complicada la detección de su origen.
“Cuando hablamos de posibles campañas de ciberespionaje patrocinadas por los Estados, la gente a menudo imagina que son operaciones avanzadas que emplean herramientas complejas desarrolladas por expertos. Sin embargo, las personas que están detrás de esta campaña de spyware parecen más administradores de sistemas que experimentados agentes de amenazas: saben cómo codificar, pero su campaña se basa más en el uso creativo de herramientas existentes que en características nuevas y avanzadas o en código de arquitectura elaborada. No obstante, incluso las herramientas relativamente simples pueden causar un daño considerable, por lo que instamos a las organizaciones a proteger su valiosa información y sistemas contra todos los niveles de amenazas, y a utilizar la inteligencia contra amenazas para comprender cómo está evolucionando el panorama”, dijo Denis Legezo, investigador de seguridad en Kaspersky Lab.
Los productos de Kaspersky detectan el malware Remexi actualizado como Trojan.Win32.Remexi y Trojan.Win32.Agent.
Para obtener más información sobre los servicios de inteligencia contra amenazas, por favor comuníquese con intelreports@kaspersky.com
Para protegerse contra ataques dirigidos de spyware:
- Utilice una solución de seguridad comprobada de nivel corporativo con funciones contra ataques dirigidos e inteligencia contra amenazas, como la solución Kaspersky Threat Management and Defense. Esta solución puede detectar y capturar los ataques dirigidos avanzados analizando anomalías de la red y proporcionando a los equipos de ciberseguridad una visibilidad total de la red, así como la automatización de la respuesta.
- Incluya iniciativas para crear conciencia de la seguridad que permitan a los empleados dominar la posibilidad de identificar mensajes sospechosos. El correo electrónico es un punto de entrada común para ataques dirigidos, y los clientes de Kaspersky Lab se beneficiarían con Kaspersky Security Awareness Training.
- Proporcione a su equipo de seguridad acceso a datos actualizados de inteligencia contra amenazas, para mantenerse al tanto de las tácticas y herramientas más recientes utilizadas por los ciberdelincuentes, y mejorar los controles de seguridad que ya están en uso.