Nuevos ataques dirigidos a intereses estadounidenses usando viejas técnicas
Con todo el revuelo protagonizado por Flame en las últimas semanas, incluyendo todo el análisis de las técnicas usadas para propagarse y permanecer en el anonimato durante tanto tiempo, casi nos hemos olvidado de otras amenazas mas clásicas que persiguen fines similares y que también apuntan a gobiernos, organismos y empresas importantes.
Durante los últimos días, varios investigadores han venido observando una serie de ataques a organizaciones del más alto nivel entre las que se incluyen empresas de seguridad, contratistas de defensa y universidades. Como siempre que se produce un caso similar, el primer sospechoso es China y, aunque aun es pronto para afirmarlo a ciencia cierta, las técnicas usadas son muy similares a las vistas en ocasiones anteriores.
Al parecer, todo empezó cuando se hizo público un ataque en la empresa de seguridad Digitalbond, especializada en sistemas ICS (Sistemas de Control de Incidencias). Algunos empleados de esta empresa recibieron un correo con un supuesto fichero PDF adjunto con un nombre de lo más sugerente:
Los investigadores españoles Jaime Blasco de Alienvault y Ruben Santamarta han publicado un detallado informe donde analizan esta amenaza y del cual hemos obtenido la información y las capturas de pantalla que componen este artículo. Tras recibir el aparentemente inofensivo archivo PDF muchos de los usuarios lo abrirán sin más, engañados por el familiar icono del archivo y la extensión del mismo, pero tal y como Jaime y Ruben nos muestran, el fichero oculta una segunda extensión .exe que delata su verdadera finalidad.
Para no levantar sospechas, cuando un usuario ejecuta el archivo se muestra su contenido pero, a la vez, también ejecuta un downloader que, tras conectarse a una dirección remota, descargará un nuevo ejecutable malicioso que actuará como una RAT (herramienta de acceso remoto) para conectarse al sistema infectdo, encargandose también de conectarse a un centro de comando y control (C&C) para recibir ordenes. Estos archivos maliciosos se encuentran alojados en varios servidores comprometidos técnica que se ha vuelto de lo mas común tal y como hemos visto en anteriores ocasiones.
Parece obvio que este ataque está destinado a infectar sistemas que forman parte de organizaciones con información muy suculenta, muchas de ellas relacionadas con el gobierno de los Estados Unidos o con algunos de sus contratistas que les proporcionan todo tipo de servicios.
Este tipo de ataques se producen a diario y, aunque no tengan la elaboración de Stuxnet, Duqu o el más reciente Flame son igualmente efectivos si no se toman las medidas de seguridad adecuadas.
Josep Albors
@JosepAlbors
Related Posts
-
“Cuenta suspendida”: Nuevo caso de phishing suplantando al Banco Santander
-
Cuidado con los mensajes de WhatsApp que ofrecen nuevos emoticonos navideños
-
La Agencia Tributaria y la FNMT usadas como gancho en una nueva campaña dirigida a empresas españolas
-
“Recordatorio de alquiler”: email sencillo pero efectivo que trata de estafarnos
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.