La han llamado Operación In(ter)ception debido a la muestra de malware detectada y su nombre “Inception.dll”. El laboratorio de ESET ha descubierto una campaña de ciberataques que utilizaban mensajes falsificados de LinkedIn y técnicas de ocultación para evitar ser desenmascarados con el objetivo de conseguir beneficios financieros e información confidencial.
Como se acaba de comprobar, los ataques se realizaron en el último trimestre de 2019. El anzuelo, un mensaje “consistente en una oferta de trabajo bastante creíble, procedente de una compañía relevante. Tanto el perfil de LinkedIn como los mensajes adjuntos eran falsos, y estos últimos contenían archivos maliciosos”, comenta Dominik Breitenbacher, responsable de la investigación en ESET.
Los mensajes se enviaban directamente a través de un mensaje de LinkedIn o de correo electrónico con un enlace a OneDrive. En el caso concreto de los emails, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falseados en la red social. Una vez que la víctima abría el archivo, aparecía un documento PDF, aparentemente inofensivo, con información salarial sobre la supuesta oferta trabajo. El malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como mantener la persistencia en el sistema.
A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto. Además, se aprovechaban de una táctica conocida como “living off the land”, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas.
“Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus. Sin embargo, ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”, comenta Breitenbacher.
"Ni el análisis del malware ni la investigación nos ha llevado a saber aún qué archivos estaban buscando los delincuentes”
Además de lastécnicas de espionaje, los investigadores de ESET han encontrado pruebas de quea la vez estaban intentando conseguir dinero de otras compañías a partir de lascuentas comprometidas. Entre los mails de las víctimas se han encontradocomunicaciones sobre facturas impagadas entre el afectado y sus clientes en lasque se urgía al pago a una cuenta propiedad de los ciberdelincuentes.Afortunadamente, en los casos investigados el cliente sospechó del mensaje ycontactó con la víctima para confirmar la veracidad del correo, frustrando elintento de los atacantes de conseguir comprometer también a los clientes de lavíctima.
“Este intento de monetizar el acceso a la red de la víctima debe servir como ejemplo a la hora de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar adecuadamente a los empleados de cualquier organización en ciberseguridad. Una concienciación básica en estos temas ayuda a los trabajadores a conocer y a reconocer las tácticas usadas por minoritarias que sean”, concluye Breitenbacher.
Instituciones militares y compañías aeroespaciales europeas y de Medio Oriente, han sido, al parecer, el blanco de estas vulneraciones de la seguridad. El trabajo de investigación completo puede encontrarse en el Libro Blanco de ESET, bajo el epígrafe: “Operation In(ter)ception: ataques dirigidos contra compañías europeas aeroespaciales y militares”.