MontysThree: un ciberespía industrial

Los cibercriminales usan la esteganografía para esconder su código y buscar datos industriales.

Nuestros expertos han encontrado rastros de la actividad de un nuevo grupo cibercriminal que espía a las empresas industriales. Los ladrones están realizando ataques dirigidos mediante una herramienta que nuestros investigadores llaman MontysThree, y buscan documentos en las computadoras de las víctimas. El grupo aparece estar activo al menos desde 2018.

 

Cómo MontysThree infecta las computadoras

Los cibercriminales utilizan técnicas clásicas de spear-phishing (phishing dirigido) para penetrar en las computadoras de las víctimas, pues envían correos que contienen ficheros ejecutables que parecen documentos en formato .pdf o .doc a los empleados de las empresas industriales. Dichos archivos normalmente tienen nombres como “actualización corporativa de datos,” “Especificación técnica,” “Lista de números de teléfono de empleados 2019” y similares. En algunos casos, los atacantes intentan hacer que los archivos parezcan documentos clínicos, con nombres como “Resultados del análisis médico” o “Invitro-106650152-1.pdf” (Invitro es uno de los laboratorios clínicos rusos grandes en Rusia).

 

¿Qué quieren los atacantes?

MontysThree está en busca de documentos específicos en Microsoft Office y los formatos de Adobe Acrobat situados en varios directorios y medios conectados. Después de la infección, el malware traza un perfil de la computadora de la víctima: envía la versión del sistema, una lista de procesos y capturas de escritorio a su servidor de mando y control, así como una lista de documentos recientemente abiertos, junto con sus extensiones .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw y .pwd en los directorios USERPROFILE y APPDATA.

¿Qué más puede hacer MontysThree?

Los desarrolladores implementaron varios mecanismos un tanto inusuales en su malware. Por ejemplo, tras la infección, el módulo de descarga extrae y descifra el módulo principal, el cual está cifrado en una imagen con esteganografía. Nuestros expertos creen que los atacantes escribieron el algoritmo de esteganografía desde cero; es decir, que simplemente no lo copiaron de muestras de código abierto, como a menudo sucede.

El malware se comunica con el servidor de comando y control mediante servicios de nube públicos como Google, Microsoft y Dropbox, así como WebDAV. Además, el módulo de comunicaciones puede hacer solicitudes mediante RDP y Citrix. Por si fuera poco, los creadores del malware no insertaron ningún protocolo de comunicación en su código; en su lugar, MontyThree utiliza programas legítimos (RDP, clientes de Citrix e Internet Explorer).

Para mantener el malware lo más posible en el sistema de la víctima, un módulo auxiliar modifica los atajos en el en el panel Quick Launch de Windows, de modo que el usuario, al lanzar un atajo (por ejemplo, un navegador), el módulo cargador de MontyThree se ejecuta al mismo tiempo.

¿Quiénes son los atacantes?

Nuestros expertos no ven señales que relacionen a los creadores de MontysThree con ataques recientes. Según parece, se trata de un grupo cibercriminal totalmente nuevo y, a juzgar por fragmentos de texto en el código, el ruso es la lengua materna de los autores. Asimismo, su objetivo principal son muy probablemente empresas rusoparlantes; algunos de los directorios en los que el malware busca existen en la versión en cirílico del sistema. Aunque nuestros expertos también encontraron información de la cuenta para los servicios de comunicaciones que sugieren un origen en China, ellos más bien creen que son banderas falsas cuyo objetivo es ofuscar el rastro de los atacantes.

En nuestra publicación en Securelist encontrarás una descripción técnica detallada de MontysThree, junto con los indicadores de compromiso.

 

¿Qué se puede hacer?

Para comenzar, empieza por comunicar una vez más a los empleados que los ataques dirigidos a menudo empiezan con un correo electrónico, así que necesitan ser extremadamente precavidos al abrir archivos, especialmente aquellos que no estaban esperando. Para asegurarte bien de que entienden por qué necesitan estar alerta, te recomendamos no sólo explicarles los peligros de dicho comportamiento, sino fomentar sus habilidades para contrarrestar las ciberamenazas modernas mediante Kaspersky Automated Security Awareness Platform.

 

 

Además, para protegerte contra ataques dirigidos sofisticados, usa una solución de seguridad integrada que combine la protección de estaciones de trabajo, habilidades de EDR y herramientas adicionales para analizar y frustrar los ataques.

Consejos