{"id":8806,"date":"2017-01-13T05:44:41","date_gmt":"2017-01-13T05:44:41","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=8806"},"modified":"2019-11-22T02:56:57","modified_gmt":"2019-11-22T08:56:57","slug":"eye-pyramid-spyware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/eye-pyramid-spyware\/8806\/","title":{"rendered":"EyePyramid: un malware para mejorar las inversiones"},"content":{"rendered":"

Cuando hablamos de malware<\/i> en Kaspersky Daily, y lo hacemos a menudo, solemos elegir los tipos de malware<\/i> que, seg\u00fan nuestras informaciones, han afectado a muchas personas. Por ejemplo, CryptXXX<\/a>, TeslaCrypt<\/a>, entre otros, han atacado a millones de usuarios del mundo. Los que solo se han detectado unas pocas veces no suelen merecer mucha atenci\u00f3n. Como ya sabr\u00e1s, hay muchos malware<\/i> ah\u00ed fuera (y no podemos dedicar un art\u00edculo a cada uno).<\/p>\n

Pero siempre hay una excepci\u00f3n a toda regla. Hoy hablaremos del malware<\/i> llamado EyePyramid. No, nosotros no le pusimos el nombre, fueron sus creadores. Y la raz\u00f3n por la que vamos a hablar de \u00e9l es porque destaca de entre los dem\u00e1s y su historia se parece a un cuento de fantas\u00eda. En ella, un hombre peque\u00f1o consigue grandes resultados (y, al final, fracasa).<\/p>\n

El negocio phishing<\/i> de una familia italiana<\/h2>\n

Empecemos por el hecho de que EyePyramid era, b\u00e1sicamente, un negocio familiar. El malware<\/i> en s\u00ed lo desarroll\u00f3 un italiano de 45 a\u00f1os, Giulio Occhionero, el cual tiene un t\u00edtulo en ingenier\u00eda nuclear. \u00c9l y su hermana, Francesca Maria Occhionero, de 48 a\u00f1os de edad, trabajaban difundiendo el malware<\/i>. Trabajaban juntos en una peque\u00f1a sociedad de inversi\u00f3n.<\/p>\n

De acuerdo con un informe que la polic\u00eda italiana ha publicado<\/a> recientemente, EyePyramid se distribu\u00eda mediante spear phishing<\/i> y sus objetivos eran principalmente miembros del gobierno italiano con un cargo alto, adem\u00e1s de masones, bufetes de abogados, servicios de consultor\u00eda, universidades e, incluso, cardenales del Vaticano.<\/p>\n

\u00bfPara qu\u00e9? Una vez instalado, el malware<\/i> permit\u00eda a sus creadores acceder a todos los recursos de los ordenadores de las v\u00edctimas. Se utilizaba con el \u00fanico motivo de recopilar informaci\u00f3n para, seg\u00fan informa<\/a> SC Magazine, utilizarla con el fin de realizar inversiones m\u00e1s rentables. Malware<\/i> como herramienta para analistas. Personalmente, no veo la relaci\u00f3n entre inversiones y cardenales, pero al parecer los delincuentes s\u00ed.<\/p>\n

El alto perfil de las posiciones de las v\u00edctimas y tambi\u00e9n el hecho de que la polic\u00eda italiana no revele detalles sobre EyePyramid, salvo la direcci\u00f3n de los servidores de mando y control y varios correos electr\u00f3nicos utilizados, llam\u00f3 la atenci\u00f3n a nuestros expertos de GReAT. Por lo que decidieron investigarlo por su cuenta<\/a>.<\/p>\n

Novatos en ciberdelincuencia<\/h3>\n

Mediante la informaci\u00f3n del informe policial, nuestros analistas pudieron encontrar la cantidad de 44 muestras diferentes de EyePyramid y ello nos hizo comprender la historia. Algunos medios insisten en que EyePyramid es complejo y sofisticado, pero no es as\u00ed. En realidad, es muy simple. El d\u00fao empleaba m\u00e9todos como usar m\u00faltiples espacios para ocultar la extensi\u00f3n de un archivo ejecutable que conten\u00eda el <i>malware<\/i>. Sencillo, pero eficaz.<\/p>\n

Al parecer, los Occhionero empezaron con la parte delictiva de su negocio hace mucho tiempo (las muestras m\u00e1s antiguas que hemos podido rastrear datan de 2010). Los funcionarios italianos dicen que el d\u00fao podr\u00eda haber estado activo desde 2008.<\/p>\n

Al ser los dos aficionados en el campo de la ciberdelincuencia, fallaron en mantener un buen operativo de seguridad. De hecho, no les importaba nada la seguridad: hablaban por tel\u00e9fono de sus v\u00edctimas (y ya sab\u00e9is que las agencias de seguridad pueden pinchar<\/a> f\u00e1cilmente un tel\u00e9fono) y por WhatsApp (que no usaba cifrado de extremo a extremo hasta este a\u00f1o<\/a>). Adem\u00e1s, dejaban pistas de la direcci\u00f3n IP asociada a su compa\u00f1\u00eda.<\/p>\n

No obstante, seg\u00fan c\u00e1lculos de la polic\u00eda italiana, llevan los tres \u00faltimos a\u00f1os operando, pero puede que lleven m\u00e1s de ocho a\u00f1os, la cifra de sus v\u00edctimas asciende a 16,000 y han conseguido acceder a sus ordenadores en m\u00e1s de 100 ocasiones. Eso otorg\u00f3 mucha informaci\u00f3n al d\u00fao (gigabytes de informaci\u00f3n que seguramente les ayud\u00f3 a mejorar sus inversiones). Esta es la confirmaci\u00f3n perfecta de la teor\u00eda que dice que las inversiones en educaci\u00f3n (en este caso, aprendizaje de seguridad operacional) suelen ser mejores.<\/p>\n

El fin de la historia<\/h3>\n

El 10 de enero, el FBI arrest\u00f3 a Giulio y a Francesca Mario Occhionero, por lo que la distribuci\u00f3n del malware<\/i> de los principiantes se ha acabado.<\/p>\n

Su duraci\u00f3n puede parecer sorprendente, pero su secreto quiz\u00e1 resida en la simplicidad del malware<\/i>. Parec\u00eda demasiado aburrido como para ser investigado y Kaspersky Security Network solo ten\u00eda registrados 92 intentos de infecci\u00f3n, lo que es nada en comparaci\u00f3n con el oc\u00e9ano de intentos de ataque de los malware<\/i> populares. No obstante, los delincuentes est\u00e1n en la c\u00e1rcel y todo va bien en el mundo.<\/p>\n","protected":false},"excerpt":{"rendered":"

La historia de dos aficionados que pudieron espiar durante dos a\u00f1os a funcionarios italianos sin ser atrapados<\/p>\n","protected":false},"author":696,"featured_media":8807,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,2737],"tags":[733,34,1254],"class_list":{"0":"post-8806","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-privacy","9":"tag-espiar","10":"tag-malware-2","11":"tag-spyware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/eye-pyramid-spyware\/8806\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/eye-pyramid-spyware\/9863\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/eye-pyramid-spyware\/9579\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/eye-pyramid-spyware\/6612\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/spyware\/","name":"spyware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=8806"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8806\/revisions"}],"predecessor-version":[{"id":15991,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8806\/revisions\/15991"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/8807"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=8806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=8806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=8806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}