Una nueva técnica de espionaje Industrial emplea servicios en la nube pública
MontyThree es la nueva herramienta de ataques dirigidos, descubierta por el proveedor de seguridad Karspersky, la cual está enfocada a diversas industrias. Para llevar a cabo su ataque, emplea una combinación sofisticada de módulos: Phishing, Esteganografía y Comando y Control (C&C).
Técnicas de phishing
Para penetrar en las computadoras de las víctimas, el atacante envía correos electrónicos a los empleados con archivos adjuntos, en formatos PDF y DOC, con nombres relacionados a la organización: directorio de empleados, resultados de análisis, especificaciones técnicas, etc; y cuyo contenido embebido son archivos Portables Ejecutables (PE) con código malicioso.
Esteganografía
Una vez efectuada la infección, el malware analiza la computadora de la víctima y envía cierta información al atacante, a través de objetos de mapa de bits, y de esta manera evade los mecanismos de seguridad. Entre la información enviada se encuentra:
- Versión del sistema operativo
- Lista de procesos en ejecución
- Capturas de pantalla del escritorio
- Lista de archivos abiertos recientemente, directorios UserProfile y AppData
Comando y Control (C&C)
Para llevar a cabo sus comunicaciones, MontyThree utiliza protocolos legítimos como RDP, clientes Citrix, Internet Explorer; servicios de nube pública como Google, Microsoft y Dropbox, así como WebDAV; lo que dificulta la detección del tráfico malicioso.
Existe un módulo auxiliar cuya función radica en modificar los accesos directos del inicio rápido de Windows, de tal forma que, cuando el usuario inicia alguna de las aplicaciones, ejecuta al mismo tiempo, el módulo MontyThree.
Aún no hay indicios de los creadores de este malware; por que los expertos continúan investigando. SCILABS por su parte, espera profundizar en la investigación para ofrecer más información sobre este nuevo ataque.
Referencias:
https://www.kaspersky.com/blog/montysthree-industrial-cyberspy/37263/
https://threatpost.com/montysthree-apt-industrial-targets/159957/