Nuevos ataques dirigidos a intereses estadounidenses usando viejas técnicas

Con todo el revuelo protagonizado por Flame en las últimas semanas, incluyendo todo el análisis de las técnicas usadas para propagarse y permanecer en el anonimato durante tanto tiempo, casi nos hemos olvidado de otras amenazas mas clásicas que persiguen fines similares y que también apuntan a gobiernos, organismos y empresas importantes.

Durante los últimos días, varios investigadores han venido observando una serie de ataques a organizaciones del más alto nivel entre las que se incluyen empresas de seguridad, contratistas de defensa y universidades. Como siempre que se produce un caso similar, el primer sospechoso es China y, aunque aun es pronto para afirmarlo a ciencia cierta, las técnicas usadas son muy similares a las vistas en ocasiones anteriores.

Al parecer, todo empezó cuando se hizo público un ataque en la empresa de seguridad Digitalbond, especializada en sistemas ICS (Sistemas de Control de Incidencias). Algunos empleados de esta empresa recibieron un correo con un supuesto fichero PDF adjunto con un nombre de lo más sugerente:

Los investigadores españoles Jaime Blasco de Alienvault y Ruben Santamarta han publicado un detallado informe donde analizan esta amenaza y del cual hemos obtenido la información y las capturas de pantalla que componen este artículo. Tras recibir el aparentemente inofensivo archivo PDF muchos de los usuarios lo abrirán sin más, engañados por el familiar icono del archivo y la extensión del mismo, pero tal y como Jaime y Ruben nos muestran, el fichero oculta una segunda extensión .exe que delata su verdadera finalidad.

Para no levantar sospechas, cuando un usuario ejecuta el archivo se muestra su contenido pero, a la vez, también ejecuta un downloader que, tras conectarse a una dirección remota, descargará un nuevo ejecutable malicioso que actuará como una RAT (herramienta de acceso remoto) para conectarse al sistema infectdo, encargandose también de conectarse a un centro de comando y control (C&C) para recibir ordenes. Estos archivos maliciosos se encuentran alojados en varios servidores comprometidos técnica que se ha vuelto de lo mas común tal y como hemos visto en anteriores ocasiones.

Parece obvio que este ataque está destinado a infectar sistemas que forman parte de organizaciones con información muy suculenta, muchas de ellas relacionadas con el gobierno de los Estados Unidos o con algunos de sus contratistas que les proporcionan todo tipo de servicios.

Este tipo de ataques se producen a diario y, aunque no tengan la elaboración de Stuxnet, Duqu o el más reciente Flame son igualmente efectivos si no se toman las medidas de seguridad adecuadas.

Josep Albors
@JosepAlbors

Comentar

Tu dirección de correo electrónico no será publicada.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..