{"id":14352,"date":"2019-04-10T09:19:22","date_gmt":"2019-04-10T15:19:22","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14352"},"modified":"2022-05-05T09:49:51","modified_gmt":"2022-05-05T15:49:51","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/gaza-cybergang\/14352\/","title":{"rendered":"Gaza Cybergang y su campa\u00f1a de SneakyPastes"},"content":{"rendered":"

En la conferencia Security Analyst Summit (SAS) de Kaspersky, es costumbre que hablemos de los ataques APT<\/a>: fue all\u00ed donde publicamos por primera vez informaci\u00f3n sobre Slingshot<\/a>, Carbanak<\/a> y Careto<\/a>. Los ataques dirigidos est\u00e1n a la alza y este a\u00f1o no fue la excepci\u00f3n: en el SAS\u00a02019 en Singapur, hablamos de un grupo criminal APT llamado Gaza Cybergang.<\/p>\n

Arsenal variado<\/strong><\/h2>\n

La ciberbanda Gaza Cybergang se especializa en ciberespionaje, cuya acci\u00f3n se limita al Medio Oriente y pa\u00edses de Asia Central. Su objetivo principal son pol\u00edticos, diplom\u00e1ticos, periodistas, activistas y otros ciudadanos pol\u00edticamente activos de la regi\u00f3n.<\/p>\n

En cuanto al n\u00famero de ataques que registramos desde enero del 2018 hasta enero del 2019, los objetivos que encabezan la lista se encuentran dentro del territorio palestino. Tambi\u00e9n hubo intentos de infecci\u00f3n en Jord\u00e1n, Israel y L\u00edbano. La banda emple\u00f3 m\u00e9todos y herramientas de distintos grados de complejidad en estos ataques.<\/p>\n

Nuestros expertos han identificado tres subgrupos dentro de la ciberbanda; ya hemos cubiertos dos de ellos. El primero fue responsable de la campa\u00f1a Desert Falcons<\/a> y el segundo est\u00e1 detr\u00e1s de los ataques personalizados conocidos como Operation Parliament<\/a>.<\/p>\n

Pues bien, toca turno al tercero, al que llamaremos MoleRATs. El grupo cuenta con herramientas relativamente simples, pero de ning\u00fan modo su campa\u00f1a SneakyPastes (nombrado as\u00ed por usar activamente pastebin.com) resulta inofensiva.<\/p>\n

SneakyPastes<\/strong><\/h3>\n

La campa\u00f1a presenta m\u00faltiples etapas. Comienza con phishing<\/em>, enviando correos desde direcciones y dominios de uso \u00fanico. A veces, los correos contienen enlaces hacia malware<\/em> o archivos adjuntos infectados. Si la v\u00edctima ejecuta el archivo adjunto (o si sigue el enlace), su dispositivo contraer\u00e1 el malware<\/em> Stage One, el cual est\u00e1 programado para echar a andar la cadena de infecci\u00f3n.<\/p>\n

Los correos, destinados a apaciguar la desconfianza del lector, versan casi siempre sobre pol\u00edtica: son registros de las negociaciones pol\u00edticas o discursos provenientes de organizaciones cre\u00edbles.<\/p>\n

Una vez que el malware<\/em> Stage se encuentra alojado en la computadora, intenta afianzar su posici\u00f3n, esconde su presencia frente a cualquier soluci\u00f3n de antivirus y oculta el servidor de mando.<\/p>\n

Los atacantes utilizan servicios p\u00fablicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com y pomf.cat) para etapas posteriores del ataque (incluyendo el env\u00edo de malware<\/em>) y, sobre todo, para comunicarse con el servidor de mando. Normalmente, usan m\u00e9todos diversos al mismo tiempo para enviar la informaci\u00f3n extra\u00edda.<\/p>\n

Finalmente, el dispositivo se ve infectado con el malware RAT<\/a>, el cual ofrece poderosas capacidades; entre otras, la de descargar y cargar libremente archivos, ejecutar aplicaciones, buscar documentos y cifrar informaci\u00f3n.<\/p>\n

El malware<\/em> analiza la computadora de la v\u00edctima a fin de localizar todos los archivos PDF, DOC, DOCX y XLSX, los guarda en carpetas temporales; los clasifica, archiva y cifra y, finalmente, los env\u00eda a un servidor de mando mediante una cadena de dominios. .<\/p>\n

De hecho, hemos identificado m\u00faltiples herramientas en este tipo de ataque. Si quieres conocer m\u00e1s acerca de ellas y obtener informaci\u00f3n m\u00e1s t\u00e9cnica en esta publicaci\u00f3n en Securelist.<\/a><\/p>\n

Protecci\u00f3n integrada contra amenazas integradas<\/strong><\/h3>\n

Nuestros productos est\u00e1n destinados a combatir exitosamente los componentes usados en la campa\u00f1a SneakyPastes. Para no ser una v\u00edctima m\u00e1s, sigue estos consejos:<\/p>\n