Alerta de la empresa de ciberseguridad ESET

El grupo Gamaredon vuelve a robar archivos, esta vez de Microsoft Office

50
ciberseguridad ESET

Son como el Guadiana. El grupo de piratas informáticos Gamaredon hace y deshace, aparece y desaparece, desde que se le conoce activo en torno a 2013. Sin embargo, aunque más que fichados, juegan al despiste, por lo mucho que cambian su modus operandi.

Y, luego, también les gusta desconcertar: “Aunque atacar una cuenta de correo y enviar mensajes maliciosos sin consentimiento de la víctima no es una técnica novedosa, creemos que es el primer caso documentado públicamente de un grupo que utiliza archivos OTM y macros de Outlook para conseguirlo”, explica Jean-Ian Boutin, responsable de investigaciones de amenazas en ESET, la mayor compañía de soluciones de seguridad con sede en la Unión Europea, con más de 110 millones de usuarios protegidos.

Su laboratorio acaba de descubrir las nuevas herramientas de ataque que están empleando. Entre estas, una dirigida contra Microsoft Outlook que utiliza un proyecto Visual Basic para aplicaciones (VBA) personalizado. Este malware permite al atacante utilizar la cuenta de correo de la víctima para enviar e-mails fraudulentos dirigidos a contactos de la agenda.

La otra herramienta descubierta por ESET se utiliza para inyectar macros y referencias en plantillas remotas de documentos de Office (tanto Word como Excel). El uso de macros de Outlook para distribuir malware es algo muy poco común en la actualidad, de ahí que sea fácil pillar desprevenido al usuario. MSIL/Pterodo, Win32/Pterodo o Win64/Pterodo son las variantes de malware usadas por Gamaredon en estas campañas y detectadas por ESET.

Utilizan el correo de sus víctimas para mandar emails fraudulentos a sus contactos o bien inyectan macros y referencias en plantillas remotas de Office

“En los últimos meses ha habido un incremento en la actividad de este grupo, con oleadas constantes de correos maliciosos que llegaban a los buzones de las víctimas. Los documentos adjuntos a estos mails incluyen macros maliciosas que, cuando se ejecutan, intentan descargar una gran variedad de tipos diferentes de malware”, avisa Boutin.

La estrategia de inyectar macros o referencias a plantillas remotas en el sistema atacado es para los expertos una forma muy efectiva de introducirse en la red de una organización, ya que los documentos suelen ser compartidos de forma rutinaria por diferentes compañeros de trabajo, lo que favorece su propagación. Además, gracias a una función especial, que falsifica la configuración de seguridad de las macros de Microsoft Office, el usuario afectado no sospecha en ningún momento que está comprometiendo su dispositivo.

Lo que diferencia a estos ciberdelincuentes de otros es su intención de no ocultarse, aunque cuentan con herramientas para pasar inadvertidos

El grupo usa puertas traseras y el robo de archivos para identificar y recopilar documentos sensibles del sistema comprometido, y los carga luego en un servidor de mando y control. Como añadido, estos ladrones de archivos tienen la capacidad de ejecutar código de forma arbitraria desde el servidor de mando y control.

Una de las diferencias más importantes entre este y otros grupos de ciberdelincuentes es que los atacantes de Gamaredon no han hecho grandes esfuerzos para permanecer ocultos. A pesar de que sus herramientas, cuentan con la capacidad de utilizar técnicas para pasar inadvertidos, parece que uno de los objetivos del grupo es distribuir su malware de la forma más rápida y extensa posible para extraer datos de las redes atacadas.

“Hemos conseguido recoger muchas muestras diferentes de scripts maliciosos, ejecutables y documentos utilizados por el grupo Gamaredon en sus diferentes campañas”, asegura el responsable de investigación de ESET.