Un mensaje de LinkedIn, el anzuelo para robar información a compañías militares y aeroespaciales
A fines del año pasado, investigadores de ESET, descubrieron que entre septiembre y diciembre de 2019 se llevaron a cabo de manera activa ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente. El objetivo principal de la operación era el espionaje, y en uno de los casos se intentó monetizar el acceso a la cuenta de correo de una de sus víctimas a través de un ataque conocido como BEC (del inglés Business Email Compromise).
La investigación denominada “Operacion In(ter)ception” contó con la colaboración de dos de las compañías europeas afectadas, lo que permitió obtener información sobre las técnicas utilizadas y descubrir malware previamente indocumentado. Para comprometer a sus objetivos, los atacantes utilizaron ingeniería social a través de LinkedIn para publicar ofertas de trabajo atractivas, pero falsas.
El mensaje fue una oferta de trabajo bastante creíble, aparentemente de una empresa conocida en un sector relevante. Por supuesto, el perfil de LinkedIn era falso, y los archivos enviados dentro de la comunicación eran maliciosos.
Dominik Breitenbacher, investigador de malware de ESET quien analizó el malware y dirigió la investigación.
Los archivos maliciosos se enviaron directamente a través de mensajes de LinkedIn o por correos electrónicos que contenían un enlace de OneDrive. Para la última opción, los atacantes crearon cuentas de correo electrónico correspondientes a sus falsos perfiles de LinkedIn.
Una vez que el destinatario abría el archivo, se mostraba un documento PDF con información salarial relacionada con la falsa oferta de trabajo. Mientras tanto, el malware se implementaba silenciosamente en la computadora de la víctima. De esta manera, los atacantes establecieron un punto de apoyo inicial y alcanzaron una persistencia sólida en el sistema.
Como describe ESET en su informe técnico “Operation In(ter)ception: ataques dirigidos contra compañías aeroespaciales y militares europeas”, tras establecer un contacto inicial, los atacantes desplegaron su malware personalizado de múltiples etapas, junto con herramientas de código abierto modificadas. Además de malware, los atacantes hicieron uso de tácticas conocidas como living off the land para abusar de herramientas legítimas y funciones del sistema operativo. Asimismo, se utilizaron varias técnicas para evitar la detección, incluyendo la firma de código, la recopilación de malware de manera regular y la suplantación de identidad de software y compañías legítimas.
Los ataques que investigamos mostraron todos los signos de espionaje, con varias sugerencias que insinúan un posible vínculo con el grupo Lázaro. Sin embargo, ni el análisis de malware ni la investigación nos permitieron obtener una idea de a qué archivos apuntaban los atacantes.
Breitenbacher.
Además del espionaje, los investigadores de ESET encontraron evidencia de que los atacantes intentaron usar las cuentas comprometidas para extraer dinero de compañías que interactuaban con sus víctimas.
Entre los correos electrónicos, encontraron comunicación entre la víctima y un cliente con respecto a una factura no resuelta. Los atacantes siguieron la conversación e instaron al cliente a pagar la factura a una cuenta bancaria propia. Afortunadamente, el cliente comenzó a sospechar y se acercó a la víctima para pedir ayuda, frustrando el intento de los atacantes de llevar a cabo el ataque.
Este intento de monetizar el acceso a la red de la víctima debería servir como otra razón para establecer defensas fuertes contra intrusiones y proporcionar capacitación en seguridad informática a los empleados. Dicha educación podría ayudar a los empleados a reconocer técnicas de ingeniería social aún menos conocidas, como las que se utilizan en la Operación In(ter)ception.
Breitenbacher.
Para obtener más detalles técnicos sobre la investigación, acceda al documento técnico ”Operación In(ter)ception: ataques dirigidos contra compañías europeas aeroespaciales y militares“.