Nuevas estrategias del grupo de ciberdelincuentesEscrito por Redacción TNI el 20/03/2018 a las 17:04:232541
El laboratorio de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, ha destapado las últimas campañas maliciosas llevadas a cabo por el conocido grupo de ciberdelincuentes OceanLotus, famoso por sus actividades criminales en el sudeste de Asia. La empresa de ciberseguridad ha descubierto que este grupo utiliza fundamentalmente técnicas clásicas, que siguen dándoles buenos resultados, pero han incorporado en su estrategia el uso de un nuevo backdoor. Básicamente los ciberdelincuentes utilizan diferentes métodos para convencer al usuario de que ejecute el backdoor. Una vez conseguido, intenta permanecer en el sistema pasando desapercibido el máximo tiempo posible.
Las actividades de OceanLotus se centran en redes gubernamentales y en empresas del sudeste asiático, sobre todo en Vietnam, Filipinas, Laos y Camboya. Además, el año pasado ejecutaron un ataque denominado Operación Cobalt Kitty, dirigido a una gran empresa asiática con el objetivo de robar información corporativa confidencial.
En la investigación llevada a cabo, los expertos de ESET han descubierto que los delincuentes utilizan varios métodos para engañar a las víctimas potenciales, como el uso de extensiones dobles o iconos falsos para camuflar sus amenazas como documentos ofimáticos de Word o archivos PDF. Normalmente estos anzuelos aparecen como adjuntos en correos electrónicos, aunque ESET también ha descubierto instaladores falsos y actualizaciones de software usados para distribuir el mismo backdoor.
En la investigación, además, ESET demuestra cómo el último backdoor de OceanLotus (ver investigación completa) es capaz de ejecutar software malicioso en el sistema. El proceso de instalación se apoya en un documento señuelo que se envía a la víctima potencial y desde el momento en el que se instala, realiza múltiples operaciones en la memoria siguiendo técnicas de carga que ejecutan completamente el malware en el sistema.
“Las actividades de OceanLotus demuestran su intención de permanecer escondidos y elegir a sus objetivos cuidadosamente, pero los investigadores de ESET han sacado a la luz la verdadera dimensión de sus malintencionadas actividades”, asegura Alexis Dorais-Joncas, responsable del equipo de inteligencia de la seguridad en ESET.
El grupo trabaja para limitar la distribución del malware y utilizar diferentes servidores que eviten llamar la atención sobre una sola dirección IP o un dominio concreto. Cifrando el payload y combinándolo con las técnicas de carga lateral, OceanLotus puede evitar los sistemas de detección y aparecer como una aplicación legítima. Sin embargo, a pesar de que los ciberdelincuentes han intentado mantener secretas sus operaciones, los investigadores de ESET han descubierto sus actividades, revelando cómo logran que éstas sigan siendo efectivas. “El sistema de inteligencia sobre amenazas de ESET ha mostrado datos concluyentes sobre cómo este grupo de delincuentes actualiza de forma continua sus herramientas para mantenerse activos”, añade Romain Dumont, investigador de ESET. Noticias Relacionadas:ESET Security Forum Los ciberdelincuentes usan el ransomware para extorsionar a usuarios y empresas ESET contribuye al desmantelamiento de la botnet Gamarue |