Cancún, México – Los investigadores de Kaspersky Lab han descubierto la primera amenaza avanzada persistente (APT por sus siglas en inglés) en idioma árabe. Apodado como “Desert Falcons”, el grupo, compuesto por unos treintena de atacantes (algunos de ellos conocidos por su nombre real) opera fuera de Palestina, Egipto y Turquía. Se dice que estos criminales han desarrollado y desplegado las vulnerabilidades con su sello exclusivamente en el Medio Oriente. Sin embargo, es imposible determinar si Desert Falcons está patrocinado por el Estado.
Su arsenal consiste en herramientas de malware caseras así como en ingeniería social y otras técnicas diseñadas para ejecutar y ocultar campañas sobre el sistema operativo (tradicional y móvil) de las víctimas. Particularmente, el malware busca robar información sensible, para luego ser utilizado en otras operaciones e, incluso, intentos de extorsión.
Go in-depth with the #FalconsAPT and read our exclusive report #TheSAS2015 – http://t.co/Tb6Ag44DtN pic.twitter.com/4Ajw672WZT
— KasperskyUK (@kasperskyuk) February 19, 2015
Las víctimas, de acuerdo con el equipo de Investigación y Análisis Global de Kaspersky Lab, son buscadas con base en los secretos que guarden o información de inteligencia y la posición que ocupen en organismos gubernamentales o empresas importantes.
“Más de 1 millón de archivos fueron robados de las víctimas”, dijo la compañía anti-malware. “Los hurtos incluyen comunicaciones diplomáticas de las embajadas, planes y documentos militares, documentos financieros, VIP, así como listas de contactos de medios y archivos.”
Los ataques de Desert Falcons suman ya unas 3.000 víctimas en más de 50 países. La mayoría de ellos en Palestina, Egipto, Israel y Jordania; también, se han suscitado casos Arabia Saudita, los Emiratos Árabes Unidos, los EE.UU., Corea del Sur, Marruecos y Qatar, entre otros.
El malware Desert #FalconsAPT fue descubierto por @Kaspersky Lab en #TheSAS2015 y es el primero encontrado en el medio oriente #APT
Tweet
Las víctimas incluyen organizaciones militares y gubernamentales, empleados responsables de las organizaciones de salud, quienes luchan contra el lavado de dinero, instituciones económicas y financieras, medios de comunicación, instituciones de investigación y educación, proveedores de energía y de servicios públicos, activistas y líderes políticos, empresas de seguridad física y todos aquellos con acceso a información geopolítica relevante..
Las herramientas utilizadas en los ataques de este malware incluyen troyanos backdoor que se alojan en las computadoras tradicionales y que permiten a los ciber-criminales instalar un malware capaz de registrar las teclas pulsadas, tomando capturas de pantalla e incluso grabando audios de forma remota. Han creado, también, una versión móvil para Android que espía los registros de texto SMS y llamadas.
Los investigadores de Desert Falcons dijeron en el Kaspersky Lab’s Security Analyst Summit que el malware está entre los primeros en usar chats de Facebook en ataques dirigidos. ¿Cómo? Conectando con las víctimas a través de páginas de Facebook comunes hasta ganar su confianza y, así, enviar archivos troyanos escondidos en fotos a través del chat.
El grupo comenzó a construir las herramientas del malware ya en 2011 y logró las primeras infecciones en 2013, pero no fue sino hasta finales de 2014 y principios de 2015 que su impacto comenzó a surtir efecto. Al parecer, el grupo es ahora más activo de lo que lo que fue en el pasado.
Kaspersky Lab dice que sus productos detectan y bloquean todas las variantes del malware utilizado en esta campaña.
Traducido por: Maximiliano De Benedetto