Nuestros expertos han encontrado rastros de la actividad de un nuevo grupo cibercriminal que esp\u00eda a las empresas industriales. Los ladrones est\u00e1n realizando ataques dirigidos mediante una herramienta que nuestros investigadores llaman MontysThree, y buscan documentos en las computadoras de las v\u00edctimas. El grupo aparece estar activo al menos desde 2018.<\/p>\n
\u00a0<\/p>\n
Los cibercriminales utilizan t\u00e9cnicas cl\u00e1sicas de spear-phishing<\/em> (phishing<\/em> dirigido) para penetrar en las computadoras de las v\u00edctimas, pues env\u00edan correos que contienen ficheros ejecutables que parecen documentos en formato .pdf o .doc a los empleados de las empresas industriales. Dichos archivos normalmente tienen nombres como \u201cactualizaci\u00f3n corporativa de datos,\u201d \u201cEspecificaci\u00f3n t\u00e9cnica,\u201d \u201cLista de n\u00fameros de tel\u00e9fono de empleados 2019\u201d y similares. En algunos casos, los atacantes intentan hacer que los archivos parezcan documentos cl\u00ednicos, con nombres como \u201cResultados del an\u00e1lisis m\u00e9dico\u201d o \u201cInvitro-106650152-1.pdf\u201d (Invitro es uno de los laboratorios cl\u00ednicos rusos grandes en Rusia).<\/p>\n \u00a0<\/p>\n MontysThree est\u00e1 en busca de documentos espec\u00edficos en Microsoft Office y los formatos de Adobe Acrobat situados en varios directorios y medios conectados. Despu\u00e9s de la infecci\u00f3n, el malware<\/em> traza un perfil de la computadora de la v\u00edctima: env\u00eda la versi\u00f3n del sistema, una lista de procesos y capturas de escritorio a su servidor de mando y control<\/a>, as\u00ed como una lista de documentos recientemente abiertos, junto con sus extensiones .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw y .pwd en los directorios USERPROFILE y APPDATA.<\/p>\n Los desarrolladores implementaron varios mecanismos un tanto inusuales en su malware<\/em>. Por ejemplo, tras la infecci\u00f3n, el m\u00f3dulo de descarga extrae y descifra el m\u00f3dulo principal, el cual est\u00e1 cifrado en una imagen con esteganograf\u00eda<\/a>. Nuestros expertos creen que los atacantes escribieron el algoritmo de esteganograf\u00eda desde cero; es decir, que simplemente no lo copiaron de muestras de c\u00f3digo abierto, como a menudo sucede.<\/p>\n El malware<\/em> se comunica con el servidor de comando y control mediante servicios de nube p\u00fablicos como Google, Microsoft y Dropbox, as\u00ed como WebDAV. Adem\u00e1s, el m\u00f3dulo de comunicaciones puede hacer solicitudes mediante RDP y Citrix. Por si fuera poco, los creadores del malware<\/em> no insertaron ning\u00fan protocolo de comunicaci\u00f3n en su c\u00f3digo; en su lugar, MontyThree utiliza programas leg\u00edtimos (RDP, clientes de Citrix e Internet Explorer).<\/p>\n Para mantener el malware<\/em> lo m\u00e1s posible en el sistema de la v\u00edctima, un m\u00f3dulo auxiliar modifica los atajos en el en el panel Quick Launch de Windows, de modo que el usuario, al lanzar un atajo (por ejemplo, un navegador), el m\u00f3dulo cargador de MontyThree se ejecuta al mismo tiempo.<\/p>\n Nuestros expertos no ven se\u00f1ales que relacionen a los creadores de MontysThree con ataques recientes. Seg\u00fan parece, se trata de un grupo cibercriminal totalmente nuevo y, a juzgar por fragmentos de texto en el c\u00f3digo, el ruso es la lengua materna de los autores. Asimismo, su objetivo principal son muy probablemente empresas rusoparlantes; algunos de los directorios en los que el malware<\/em> busca existen en la versi\u00f3n en cir\u00edlico del sistema. Aunque nuestros expertos tambi\u00e9n encontraron informaci\u00f3n de la cuenta para los servicios de comunicaciones que sugieren un origen en China, ellos m\u00e1s bien creen que son banderas falsas cuyo objetivo es ofuscar el rastro de los atacantes.<\/p>\n En nuestra publicaci\u00f3n en Securelist encontrar\u00e1s una descripci\u00f3n t\u00e9cnica detallada de MontysThree, junto con los indicadores de compromiso<\/a>.<\/p>\n \u00a0<\/p>\n Para comenzar, empieza por comunicar una vez m\u00e1s a los empleados que los ataques dirigidos a menudo empiezan con un correo electr\u00f3nico, as\u00ed que necesitan ser extremadamente precavidos al abrir archivos, especialmente aquellos que no estaban esperando. Para asegurarte bien de que entienden por qu\u00e9 necesitan estar alerta, te recomendamos no s\u00f3lo explicarles los peligros de dicho comportamiento, sino fomentar sus habilidades para contrarrestar las ciberamenazas modernas mediante Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n \u00a0<\/p>\n\n \u00a0<\/p>\n\u00bfQu\u00e9 quieren los atacantes?<\/h2>\n
<\/h2>\n
\u00bfQu\u00e9 m\u00e1s puede hacer MontysThree?<\/h2>\n
<\/h2>\n
\u00bfQui\u00e9nes son los atacantes?<\/h2>\n
\u00bfQu\u00e9 se puede hacer?<\/h2>\n