Check Point Research ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje. Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.
En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.
Índice de temas
Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen:
Características del malware
- Keylogging: roba todo aquello que se introduce mediante el teclado.
- Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
- Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
- Captura de pantalla.
- Recogida de datos del portapapeles.
- Ejecución de comandos.
Metodología de ataque
El Machete
- Correo electrónico de spear-phishing con texto sobre Ucrania.
- Documento de Word adjunto con un artículo versado en Ucrania.
- La función maliciosa dentro del documento deja caer una secuencia de archivos.
- Malware descargado en el PC.
Lyceum
- Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
- El documento ejecuta un macrocódigo cuando se cierra el documento.
- El archivo .exe se guarda en el PC.
- La próxima vez que se reinicie el PC se iniciará el malware.
SideWinder
- La víctima abre el documento malicioso.
- Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
- La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
- Malware en el PC de la víctima.
Los documentos con temática de Rusia/Ucrania se convierten en un señuelo
El Machete
Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.