Aunque los ataques al ámbito industrial son menos frecuentes que los realizados a otro tipo de empresas o entidades, también existen. De hecho, el equipo de investigación de Kaspersky ha descubierto uno cuyo objetivo es el espionaje industrial. Se trata de un conjunto de herramientas (denominado MT3 por los propios autores del malware) bautizado por Kaspersky como “MontysThree”. Emplea diversas técnicas para evitar su detección, entre ellas el alojamiento de sus comunicaciones con el servidor de control en servicios públicos en la nube; así como el ocultamiento del módulo malicioso principal por medio de la esteganografía.
“MontysThree es muy interesante no solo porque se dirige al mundo industrial, sino también por la combinación de sofisticación y amateurismo de sus técnicas, tácticas y procedimientos”, afirma Denis Legezo, investigador de seguridad senior de Kaspersky Global Research and Analysis Team. Según este experto, en general, la complejidad varía de un módulo a otro, aunque no puede compararse con el nivel utilizado por los grupos APT más avanzados. «No obstante, utilizan fuertes patrones de cifrado y, de hecho, cuenta con decisiones con un alto grado de conocimiento técnico, incluida la esteganografía personalizada. Es evidente que los atacantes han realizado un gran esfuerzo en el desarrollo del conjunto de herramientas MontysThree. Todo ello hace pensar que están firmemente decididos a conseguir sus objetivos, y que esta no es una campaña pasajera”, señala.
Cómo opera MontysThree en el espionaje industrial
Básicamente, MontysThree despliega un malware a través de un cargador, que se asegura de que ese archivo malicioso no lo detecta el sistema. En ese caso, se propaga utilizando archivos RAR SFX (ficheros autoextraíbles). Incluye nombres relacionados con los contactos de los empleados para engañarlos y conseguir que descarguen los archivos maliciosos. Además, emplea una técnica conocida como esteganografía, que permite ocultar archivos maliciosos dentro de otros. En esta ocasión, la descarga maliciosa principal está disfrazada como un archivo bitmap, un formato destinado al almacenamiento de imágenes digitales.
La carga maliciosa principal aplica varias técnicas propias de cifrado para evitar su detección. Una de ellas es un algoritmo RSA para cifrar las comunicaciones con el servidor de control y descifrar las principales “tareas” asignadas al malware. Entre ellas, se incluye la búsqueda de documentos con extensiones específicas y en directorios concretos de la empresa.
Difícil de detectar
MontysThree está diseñado para dirigirse específicamente a documentos Microsoft y Adobe Acrobat. Asimismo, puede realizar capturas de pantalla y estudiar el objetivo, recopilando información sobre su configuración de red, nombre del host, etc. La idea es comprobar si es de interés para los atacantes. La información recopilada, así como otras comunicaciones realizadas con el servidor de control, se alojan en servicios públicos en la nube como Google o Dropbox. Este hecho dificulta la detección del tráfico de las comunicaciones como malicioso. Y como ningún antivirus bloquea estos servicios, garantiza que el servidor de control pueda ejecutar los comandos de forma ininterrumpida.
Finalmente, MontysThree utiliza un sencillo método para ganar en persistencia dentro del sistema infectado. Se trata de un modificador en la barra de inicio rápido de Windows (Windows Quick Launch). De esta forma, los usuarios ejecutan involuntariamente el módulo inicial del malware cada vez que ejecutan aplicaciones legítimas, como por ejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápido de Windows.
Archivado en: