Empresa de seguridad descubre peligroso malware que roba datos de dispositivos sin conexión
Los analistas del gigante de la ciberseguridad y de productos antivirus, Kaspersky, han sido capaces de ejecutar la identificación de, al menos, 2 tipos de implantes específicos, los cuales se encontraban en la segunda fase de un ataque.
Uno de estos implantes, es un malware de tipo modular, siendo muy sofisticado y que puede infectar unidades extraíbles, como unidades y discos USB, entre otros, mediante un gusano de internet. El objetivo es el de filtrar datos de ordenadores y diversos equipos que están aislados o desconectados de la red.
Sobre todo las máquinas y computadoras del sector empresarial e industrial algo anticuadas que emplean, todavía, este tipo de unidades de memoria flash. El segundo tipo de implante ha sido especialmente diseñado para robar datos de computadores locales, los cuales son enviados a una cuenta de Dropbox de los actores maliciosos. Así como acabas de leerlo.
Este malware ha sido desarrollado de forma específica para poder filtrar datos de sistemas que se encuentran aislados de las redes o sin que tengan conexión a Internet, mediante, como es sabido, la infección por medio de las mencionadas unidades extraíbles.
El código malicioso se compone de 3 módulos, cada uno de los módulos se encarga, esencialmente, de tareas diversas que los diferencian entre sí. Las tareas son las siguientes: gestión de los dispositivos extraíbles, captura y robo de datos e implementación del malware en las unidades que se acaban de conectar a los equipos.
El robo de datos y la infección de equipos puede que no ocurra directamente por la descarga de software maliciosos a través de Internet. La carga de un código malicioso en unidades USB puede ser igual de peligroso. Por ello, TIC Defense provee a tu empresa de productos anti malware, los cuales pueden detectar amenazas a través del análisis de dispositivos internos y externos, conectados a los equipos de tu empresa.
A lo largo de esta profunda investigación, por parte de los equipos de analistas y expertos de Kaspersky, han constatado los esfuerzos de los hackers maliciosos para evitar la detección de cualquier sistema o programa defensivo que se encuentre instalado e implementado en una compañía.
Esto lo consiguieron a través de la encriptación de un payload (una carga de código malicioso que se ejecuta en una vulnerabilidad), en archivos de datos binarios separados. Del mismo modo, se hace mediante la inserción de código malicioso en la memoria de aplicaciones 100% legítimas. Todo ello por la técnica llamada DLL Hijacking, además de una serie de inyecciones de memoria.
Igualmente, los expertos han manifestado sorprendidos que los esfuerzos de los cibercriminales por ocultar sus acciones mediante las cargas encriptadas, inyecciones de memoria y DLL Hijacking, solo demuestran las sofisticadas de estas nuevas tácticas para vulnerar sistemas, las cuales hablan por sí solas.
Es bien sabido que la filtración de datos en redes aisladas es una estrategia muy conocida y adoptada por diversas amenazas avanzadas persistentes (APT), así como campañas de ciberespionaje, patrocinada por Estados, lo cierto en este caso es que ha sido especialmente diseñada e implementada por actores maliciosos de forma directa.
En estos momentos, la empresa Kaspersky sigue ofreciendo protección avanzada contra este y otros ciberataques. Además, se encarga de colaborar con la comunidad de ciberseguridad, con el fin de difundir inteligencia de amenazas que puedan procesarse de manera temprana y así minimizar riesgos potenciales.
