Kaspersky descubre un peligroso malware que roba datos de equipos sin conexión

Posted on by k0bra

El informe ICS CERT de Kaspersky revela la segunda parte del análisis de un malware de filtración de datos que ataca en Europa del este. En la primera fase realiza implantes de malware en los sistemas de las víctimas. Tras ello, extrae información de sistemas con brechas de aire o air gap (dispositivos y equipos aislados o desconectados de la red principal), allanando el terreno para la transmisión de los datos.

Los analistas de Kaspersky fueron capaces de identificar dos tipos de implantes específicos en la segunda fase del ataque. Uno de los implantes es un malware modular sofisticado que infecta unidades extraíbles (USB, etcétera) a través de un gusano. Su objetivo es filtrar datos de equipos aislados o desconectados de empresas del sector industrial de Europa del Este mediante esas unidades de memoria. El otro tipo de implante está diseñado para robar datos de los ordenadores locales y enviarlos a una cuenta de Dropbox de los ciberatacantes.

El malware está diseñado específicamente para filtrar datos de sistemas aislados de la red o sin conexión mediante la infección de las citadas unidades extraíbles. La herramienta maliciosa está compuesta de tres módulos, cada uno de ellos encargado de tareas diferentes: gestión de los dispositivos extraíbles, captura de datos e implantación de malware en las unidades recién conectadas.

A lo largo de la investigación, los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas. Lo consiguen mediante la encriptación de un payload en archivos de datos binarios separados, así como a través de la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de memoria.

«Los esfuerzos de los ciberdelincuentes por ofuscar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL hablan por sí solo de lo sofisticadas que son sus tácticas. Aunque la filtración de datos de redes aisladas es una estrategia recurrente adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por el actor de amenazas. Kaspersky continúa ofreciendo protección contra estos y otros ataques cibernéticos, y colabora con la comunidad de ciberseguridad para difundir inteligencia de amenazas que se pueda procesar», explica Kirill Kruglov, investigador sénior de seguridad de Kaspersky.

La entrada Kaspersky descubre un peligroso malware que roba datos de equipos sin conexión es original de MuySeguridad. Seguridad informática.

Related Posts

«El mercado de la identidad como servicio tiene un potencial enorme»

CyberArk es una de las empresas líderes en el sector de la gestión de accesos privilegiados. Solo en España, la compañía está presente en el 45% de las empresas del IBEX y en industrias como la financiera, la de telecomunicaciones o la energética, su cuota de mercado supera el 70%. Para hablarnos sobre el momento […]

La entrada «El mercado de la identidad como servicio tiene un potencial enorme» es original de MuySeguridad. Seguridad informática.

«Los EDR proporcionan una visión global de las amenazas»

Los equipos de teletrabajo son igual o más vulnerables que los del puesto tradicional, ya que, en muchos casos, al ser responsabilidad única del trabajador, este puede relajarse en términos de ciberseguridad y pueden transformarse en una puerta de entrada de amenazas. La formación en seguridad de los profesionales que trabajan a distancia, la apuesta […]

La entrada «Los EDR proporcionan una visión global de las amenazas» es original de MuySeguridad. Seguridad informática.