Si recibes un currículum de un tal Roshan Bandara desconfía: es malware

El archivo abre la puerta a un malware que ha podido escapar a la detección de medio centenar de herramientas antivirus.

Alberto Payo

Periodista

Guardar

curriculum malware
curriculum malware

El ingenio de los ciberdelincuentes no tiene límites. Cada semana descubrimos nuevas fórmulas que usan para inyectar código malicioso, robar datos de particulares y empresas y llevarse un cuantioso botín.

El cibermal conoce muchas formas y algunas de ellas resultan bastante inesperadas. La división de ciberseguridad Unit 42 de Palo Alto Networks ha dado a conocer una amenaza que lleva activa las últimas semanas y que ha logrado escaparse de 56 antivirus. Esta se origina en el envío de un supuesto currículum vitae.

Los analistas de Unit 42 señalan que el malware fue detectado el pasado mes de mayo y contiene una carga útil maliciosa que sugiere que se creó con una herramienta llamada Brute Ratel (BRC4). 

En su página web BRC4 se describe como "un centro de comando y control personalizado para Red Team y Adversary Simulation". Los autores de la herramienta incluso afirman que aplicaron ingeniería inversa al software antivirus para hacer que BRC4 sea más difícil de detectar.

El currículum, perteneciente a un tal Roshan Bandara, se ofrece como un archivo ISO, un formato de archivo de imagen de disco. Si los usuarios hacen click en él se monta como una nueva unidad de Windows y muestra una ventana del Administrador de archivos con un único archivo: ""Roshan-Bandara_CV_Dialog".

Aparentemente, trata de hacerse pasar por un archivo de Microsoft Word pero obviamente, no es tal. Al hacerse doble clic se abre CMD.EXE y se ejecuta OneDrive, el cual recupera e instala BRC4.

Vinculado a Cozy Bear

Cuando el malware se ejecuta puede hacer bastantes cosas. Sin embargo, lo que realmente preocupa a Unit 42 es la técnica astuta de la que se sirve para colarse en los equipos. Opinan que es tan sofisticada que sugeriría que hay actores de estado-nación tras la misma. 

De hecho, apuntan al grupo de amenazas persistentes avanzadas APT29, también conocida como 'Cozy Bear'. Son unos hackers bastante conocidos por estar vinculados a Rusia y haber sido los autores del ataque a Solar Winds. Además suelen usar ISO con fines maliciosos.