MontysThree: un ciberespía industrial

Un grupo de ciberdelincuentes usa la esteganografía para esconder su código y buscar datos industriales.

Nuestros expertos han encontrado rastros de la actividad de un nuevo grupo que espía empresas industriales. Los ciberdelincuentes realizan ataques dirigidos mediante una herramienta que nuestros investigadores llaman MontysThree y buscan documentos en los ordenadores de las víctimas. El grupo parece llevar en activo al menos desde el 2018.

Cómo infecta MontysThree los ordenadores

Los ciberdelincuentes utilizan técnicas clásicas de spear-phishing para penetrar en los ordenadores de las víctimas, enviando correos que contienen ficheros ejecutables que parecen documentos en formato .pdf o .doc a los empleados de las empresas industriales. Dichos archivos normalmente tienen nombres como “Actualización corporativa de datos”, “Especificación técnica”, “Lista de números de teléfono de empleados 2019” y similares. En algunos casos, los atacantes intentan hacer que los archivos parezcan documentos médicos, con nombres como “Resultados del análisis médico” o “Invitro-106650152-1.pdf” (Invitro es uno de los laboratorios clínicos más importantes de Rusia).

Qué quieren los atacantes

MontysThree busca documentos específicos en los formatos de Microsoft Office y Adobe Acrobat situados en varios directorios y medios conectados. Después de la infección, el malware traza un perfil del ordenador de la víctima: envía la versión del sistema, una lista de procesos y capturas de escritorio a su servidor de mando y control, así como una lista de documentos recientemente abiertos, junto con sus extensiones .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw y .pwd en los directorios USERPROFILE y APPDATA.

Qué más puede hacer MontysThree

Los desarrolladores implementaron varios mecanismos un tanto inusuales en su malware. Por ejemplo, tras la infección, el módulo de descarga extrae y descifra el módulo principal, que está cifrado en una imagen con esteganografía. Nuestros expertos creen que los atacantes escribieron el algoritmo de esteganografía desde cero; es decir, que no lo copiaron de muestras de código abierto, como a menudo sucede.

El malware se comunica con el servidor de mando y control mediante servicios de nube públicos como Google, Microsoft y Dropbox, así como WebDAV. Además, el módulo de comunicaciones puede enviar solicitudes mediante RDP y Citrix. Por si fuera poco, los creadores del malware no insertaron ningún protocolo de comunicación en su código; en su lugar, MontyThree utiliza programas legítimos (RDP, clientes de Citrix e Internet Explorer).

Para mantener el malware el máximo tiempo posible en el sistema de la víctima, un módulo auxiliar modifica los métodos abreviados en el panel de Inicio rápido de Windows, de forma que, cuando el usuario lanza un método abreviado (por ejemplo, para abrir el navegador), el módulo cargador de MontyThree se ejecuta al mismo tiempo.

¿Quiénes son los atacantes?

Nuestros expertos no ven señales que relacionen a los creadores de MontysThree con ataques recientes. Según parece, se trata de un grupo de ciberdelincuentes totalmente nuevo y, a juzgar por varios fragmentos de texto del código, el ruso es la lengua materna de los autores. Asimismo, muy probablemente su objetivo principal sean las empresas de habla rusa; algunos de los directorios en los que el malware busca existen en la versión en cirílico del sistema. Aunque nuestros expertos también encontraron información de la cuenta para los servicios de comunicaciones que sugieren un origen en China, parecen señuelos falsos cuyo objetivo es ocultar el rastro de los atacantes.

En esta publicación de Securelist encontrarás una descripción técnica detallada de MontysThree, junto con los indicadores de compromiso.

¿Cómo actuar?

En primer lugar, empieza por comunicar una vez más a los empleados que los ataques dirigidos a menudo empiezan por un correo electrónico, por lo que deben ser extremadamente precavidos a la hora de abrir archivos, especialmente aquellos que no estén esperando. Para asegurarte de que entienden la necesidad de este estado de alerta, te recomendamos que no solo menciones los peligros de dicho comportamiento, sino que también fomentes sus habilidades para contrarrestar las ciberamenazas modernas mediante Kaspersky Automated Security Awareness Platform.

Además, para protegerte contra ataques dirigidos sofisticados, usa una solución de seguridad integrada que combine la protección de las estaciones de trabajo, las habilidades de EDR y las herramientas adicionales para analizar y frustrar los ataques.

Consejos