“Big Bang” un ataque cibernético que hace peligrar el equilibrio en medio oriente

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Investigadores de seguridad han descubierto el regreso de un grupo de vigilancia APT (amenaza persistente avanzada) dirigido a instituciones en todo el Medio Oriente, específicamente la Autoridad Palestina.

El ataque, conocido como “Big Bang”, comienza con un correo electrónico de phishing enviado a víctimas específicas que incluye un archivo adjunto de un archivo autoextraíble que contiene dos archivos: un documento de Word y un ejecutable malicioso.

Aparente de la Comisión de Orientación Política y Nacional Palestina, el documento de Word sirve como señuelo para distraer a las víctimas mientras el malware se instala en segundo plano.

El ejecutable malicioso, que se ejecuta en segundo plano, actúa como el primer malware de información robando información diseñado para la recopilación de inteligencia para identificar víctimas potenciales (sobre la base de lo que no está claro a partir de ahora) y luego descarga la segunda etapa diseñada para el espionaje

“Si bien el análisis … revela las capacidades del malware detectado, estamos bastante seguros de que es parte de un ataque de múltiples etapas que apunta a víctimas muy específicas”, dijeron los investigadores en una publicación de blog. “El malware a continuación es parte de la etapa de reconocimiento y debería conducir al plato principal, cuya naturaleza aún se desconoce”.

El malware es capaz de enviar mucha información de las máquinas infectadas al servidor de comando y control de los atacantes, incluidas capturas de pantalla de la computadora infectada, una lista de documentos con extensiones de archivos que incluyen .doc, .odt, .xls, .ppt, .pdf y más, y detalles de registro sobre el sistema.

Además de esto, el malware también incluye algunos módulos más para ejecutar cualquier archivo que reciba del servidor, enumerar los procesos en ejecución, finalizar un proceso en ejecución por nombre, así como enviar una lista de las particiones encontradas en la máquina infectada.

El malware también incluye módulos para autodestruirse eliminando la carga de la carpeta de inicio y eliminando el archivo real, y reiniciando el sistema infectado.

“Después de revisar todas las funcionalidades del malware, confiamos en decir que los atacantes buscan víctimas que respondan a características bien definidas y creen que las etapas posteriores del ataque se entregan solo a quienes se ajustan al perfil específico de la víctima”, dicen los investigadores.

Los investigadores creen que estos ataques podrían estar relacionados con el grupo Cybergang APT de Gaza, un grupo cibercriminal de lengua árabe y motivado políticamente, que está operando desde 2012 y tiene como objetivo la organización de petróleo y gas en la región del Medio Oriente Norte de África.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS