{"id":19759,"date":"2020-07-29T09:38:10","date_gmt":"2020-07-29T15:38:10","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19759"},"modified":"2020-07-29T09:38:10","modified_gmt":"2020-07-29T15:38:10","slug":"mata-framework","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/mata-framework\/19759\/","title":{"rendered":"MATA: un marco de malware multiplataforma"},"content":{"rendered":"<p>Las herramientas de los cibercriminales est\u00e1n en constante evoluci\u00f3n. El \u00faltimo ejemplo: el marco malicioso MATA que nuestros expertos descubrieron recientemente y que los cibercriminales usaban para atacar infraestructuras corporativas de todo el mundo. Puede funcionar en varios sistemas operativos y cuenta con una amplia gama de herramientas maliciosas.<\/p>\n<p>Los cibercriminales pueden usar MATA para una amplia variedad de prop\u00f3sitos delictivos. Sin embargo, en los casos que analizamos, los cibercriminales intentaban encontrar y robar datos de bases de datos de clientes en la infraestructura de las v\u00edctimas. En al menos un caso, tambi\u00e9n usaron MATA para difundir <em>ransomware<\/em> (nuestros expertos prometen un estudio independiente dedicado a ese incidente).<\/p>\n<p>La esfera de inter\u00e9s de los atacantes era bastante amplia. Entre las v\u00edctimas identificadas de MATA se encontraban desarrolladores de <em>software<\/em>, proveedores de Internet, sitios de comercio electr\u00f3nico y otros. La geograf\u00eda del ataque tambi\u00e9n era bastante extensa: detectamos rastros de la actividad del grupo en Polonia, Alemania, Turqu\u00eda, Corea, Jap\u00f3n e India.<\/p>\n<p>\u00a0<\/p>\n<h2>\u00bfPor qu\u00e9 decimos que MATA es un marco?<\/h2>\n<p>MATA no es un simple <em>malware<\/em> rico en funciones. Se trata de un tipo de constructor para cargar herramientas siempre que sea necesario. Comencemos con el hecho de que MATA puede atacar computadoras que funcionan con los tres sistemas operativos m\u00e1s populares: Windows, Linux y macOS.<\/p>\n<p>\u00a0<\/p>\n<h3>Windows<\/h3>\n<p>En primer lugar, nuestros expertos detectaron que los ataques MATA se dirig\u00edan a equipos Windows. Estos se llevan a cabo en varias etapas: al principio, los operadores de MATA ejecutan un cargador en la computadora de la v\u00edctima que implementa el llamado m\u00f3dulo orquestador, que, a su vez, descarga m\u00f3dulos capaces de una variedad de funciones maliciosas.<\/p>\n<p>Dependiendo de las caracter\u00edsticas de la situaci\u00f3n espec\u00edfica del ataque, los m\u00f3dulos pueden cargarse desde un servidor remoto HTTP o HTTPS, desde un archivo cifrado en el disco duro o transferirse a trav\u00e9s de la infraestructura MataNet a trav\u00e9s de una conexi\u00f3n TLS 1.2. Los complementos de MATA pueden:<\/p>\n<ul>\n<li>Ejecutar cmd.exe \/c o powershell.exe con par\u00e1metros adicionales y recopilar las respuestas a estos comandos.<\/li>\n<li>Manipular procesos (eliminar, crear, etc.).<\/li>\n<li>Comprobar si hay conexi\u00f3n TCP con una direcci\u00f3n espec\u00edfica (o rango de direcciones).<\/li>\n<li>Crear un servidor proxy HTTP es espera de las conexiones TCP entrantes.<\/li>\n<li>Manipular archivos (escribir datos, enviar, eliminar contenido, etc.).<\/li>\n<li>Inyectar archivos DLL en procesos en ejecuci\u00f3n.<\/li>\n<li>Conectarse a servidores remotos.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h3>Linux y macOS<\/h3>\n<p>En una investigaci\u00f3n posterior, nuestros expertos encontraron un conjunto de herramientas similar para Linux. Adem\u00e1s de la versi\u00f3n de Linux del orquestador y los complementos, conten\u00eda la <a href=\"https:\/\/threatpost.com\/socat-warns-weak-prime-number-could-mean-its-backdoored\/116104\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">utilidad leg\u00edtima de l\u00ednea de comandos Socat<\/a> y los <em>scripts<\/em> para explotar la vulnerabilidad CVE-2019-3396 en el Confluence Server de Atlassian.<\/p>\n<p>El conjunto de complementos es algo diferente del de Windows. En particular, hay un complemento adicional a trav\u00e9s del cual MATA intenta establecer una conexi\u00f3n TCP utilizando el puerto 8291 (utilizado para administrar dispositivos que ejecutan RouterOS) y el puerto <a href=\"https:\/\/www.adminsub.net\/tcp-udp-port-finder\/8292\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">8292<\/a> (utilizado en el <em>software<\/em> Bloomberg Professional). Si consigue establecer conexi\u00f3n, el complemento transfiere el registro al servidor de comando y control. Presumiblemente, la funci\u00f3n sirve para localizar nuevos objetivos.<\/p>\n<p>En cuanto a las herramientas de macOS, se encontraron en una aplicaci\u00f3n \u201ctroyanizada\u201d basada en <em>software<\/em> de c\u00f3digo abierto. En t\u00e9rminos de funcionalidad, la versi\u00f3n de macOS era casi id\u00e9ntica a su primo Linux.<\/p>\n<p>Para una descripci\u00f3n t\u00e9cnica detallada del marco, junto con los indicadores de compromiso, visita la publicaci\u00f3n dedicada a MATA en <a href=\"https:\/\/securelist.com\/mata-multi-platform-targeted-malware-framework\/97746\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Securelist<\/a>.<\/p>\n<p>\u00a0<\/p>\n<h2>\u00bfC\u00f3mo protegerte?<\/h2>\n<p>Nuestros expertos relacionan a MATA con el grupo de APT Lazarus; adem\u00e1s, no hay duda de que los ataques llevados a cabo con este marco son dirigidos. Los investigadores afirman que MATA continuar\u00e1 evolucionando. Por lo tanto, recomendamos que incluso las peque\u00f1as empresas piensen en implementar tecnolog\u00edas avanzadas para protegerse no solo de las amenazas masivas, sino tambi\u00e9n de las m\u00e1s complejas. Nosotros ofrecemos una soluci\u00f3n integrada que combina la plataforma Endpoint Protection Platform (EPP) y la funcionalidad Endpoint Detection and Response (EDR) con herramientas adicionales. Para m\u00e1s informaci\u00f3n al respecto, puedes visitar <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security\/endpoint-security-solution?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">nuestro sitio web<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos detectaron un marco de malware que los cibercriminales usan para atacar varios sistemas operativos.<\/p>\n","protected":false},"author":2581,"featured_media":19761,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2767,2911],"class_list":{"0":"post-19759","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ataques-dirigidos","9":"tag-lazarus"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mata-framework\/19759\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mata-framework\/21618\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mata-framework\/17082\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mata-framework\/8456\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mata-framework\/22890\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mata-framework\/21077\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mata-framework\/23556\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mata-framework\/22387\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mata-framework\/28793\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mata-framework\/8655\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mata-framework\/36458\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mata-framework\/15353\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mata-framework\/15887\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mata-framework\/13711\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mata-framework\/24769\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mata-framework\/28875\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mata-framework\/25729\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mata-framework\/22638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mata-framework\/27903\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mata-framework\/27739\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataques-dirigidos\/","name":"ataques dirigidos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=19759"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19759\/revisions"}],"predecessor-version":[{"id":19763,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19759\/revisions\/19763"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/19761"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=19759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=19759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=19759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}