Nuestros expertos han identificado un grupo de ciberdelincuentes que está especializado en robar secretos comerciales. A juzgar por sus objetivos hasta el momento, el grupo está interesado principalmente en atacar a empresas de la industria Fintech, bufetes de abogados y asesores financieros, aunque en al menos un caso también ha atacado a una entidad diplomática.
Dichos objetivos pueden indicar que este grupo, cuyo nombre en código es DeathStalker, busca información particular para vender u ofrece un servicio de “ataque baja demanda”. En otras palabras, se trata de un grupo mercenario.
El grupo DeathStalker ha estado activo desde el 2018 o antes, y posiblemente desde el 2012. Su uso del implante Powersing es lo que primero llamó la atención de nuestros expertos. Las operaciones más recientes también emplean métodos similares.
El ataque
En primer lugar, los delincuentes penetran en la red de la víctima utilizando la técnica spear phishing y luego envían un archivo LNK malicioso disfrazado como documento a un empleado de la organización. El archivo es un acceso directo que inicia el intérprete de línea de comandos del sistema, cmd.exe, y lo usa para ejecutar un script malicioso. A la víctima se le muestra un documento sin sentido en formato PDF, DOC o DOCX, para que piense que ha abierto un archivo normal.
Curiosamente, el código malicioso no contiene la dirección del servidor de mando y control. En su lugar, el programa accede a una publicación que se emite en una plataforma pública, donde lee una serie de caracteres que a primera vista parecen sin sentido. De hecho, se trata de información cifrada diseñada para activar la siguiente etapa del ataque. Este tipo de táctica se conoce como resolución de dead drop.
Durante la siguiente etapa, los atacantes toman el control del ordenador, ubican un atajo malicioso en la carpeta de ejecución automática (para que continúe ejecutándose en el sistema) y establecen una conexión con el servidor de mando y control real (aunque solo después de codificar su dirección de lo que parece ser otra cadena sin sentido publicada en un sitio web legítimo).
En resumen, el implante Powersing realiza dos tareas: hace capturas de pantalla periódicamente en el equipo de la víctima y las envía al servidor de mando y control, y también ejecuta scripts Powershell adicionales que se descargan del servidor de mando y control. En otras palabras, su objetivo es afianzarse en el dispositivo de la víctima para poder lanzar herramientas adicionales.
Formas de engañar a los mecanismos de seguridad
En todas las etapas, este malware utiliza varios métodos para eludir las tecnologías de seguridad, y la elección del método depende del objetivo. Además, si identifica una solución antivirus en el ordenador elegido, el malware puede cambiar de táctica o incluso deshabilitarse. Nuestros expertos creen que los ciberdelincuentes estudian el objetivo y ajustan sus scripts en cada ataque.
Pero la técnica más curiosa de DeathStalker es el uso de servicios públicos como mecanismo de resolución de dead drop. En resumen, estos servicios permiten almacenar información cifrada en una dirección fija en forma de publicaciones, comentarios, perfiles de usuario y descripciones de contenido de acceso público. Estas publicaciones pueden ser similares a esta:
En general, es solo un truco: así es como los atacantes intentan ocultar el inicio de la comunicación con el servidor de mando y control, haciendo que los mecanismos de protección piensen que alguien solo está accediendo a sitios web públicos. Nuestros expertos identificaron casos en los que los atacantes habían utilizado sitios web de Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube y WordPress y muchos más con ese propósito. Sin embargo, es poco probable que las empresas bloqueen el acceso a todos estos servicios.
Para más información sobre una posible relación entre el grupo DeathStalker y los malware Janicab y Evilnum, así como una descripción técnica completa de Powersing, incluidos los indicadores de compromiso, visita esta publicación reciente en Securelist sobre DeathStalker.
Cómo proteger a tu empresa de DeathStalker
Con la descripción de los métodos y herramientas del grupo, nos podemos hacer una idea de las amenazas a las que incluso una empresa relativamente pequeña se puede enfrentar en el mundo actual. Por supuesto, el grupo no es un actor de APT, y no utiliza trucos especialmente complicados. Sin embargo, sus herramientas están diseñadas para evitar muchas soluciones de seguridad. Nuestros expertos recomiendan las siguientes medidas de protección:
- Prestar especial atención a los procesos que se inician mediante intérpretes de lenguaje de secuencias de comandos, incluidos en particular powershell.exe y cscript.exe. Si no necesitas que realicen tareas comerciales, desactívalos.
- Tener cuidado con los ataques perpetrados por los archivos LNK que se difunden a través de mensajes de correo electrónico.
- Utilizar tecnologías de protección avanzadas, como las soluciones de tipo EDR.
En concreto, dentro de nuestro arsenal de soluciones contamos con una que puede asumir las funciones de Endpoint Protection Platform (EPP) y Endpoint Detection and Response (EDR). Para más información al respecto, visita esta página.