En junio del 2021, nuestros especialistas descubrieron un nuevo malware llamado PseudoManuscrypt. Los métodos de PseudoManuscrypt son bastante comunes para un spyware: funciona como un keylogger, recopila información sobre conexiones VPN establecidas y guarda contraseñas, roba contenidos del portapapeles, registra sonidos con el micrófono (en el caso de que el ordenador tenga uno incorporado) y captura imágenes. Una variante también puede robar las credenciales de los servicios de mensajería QQ y WeChat, grabar la pantalla e intentar deshabilitar las soluciones de seguridad. Después, envía los datos al servidor de los atacantes.
Puedes consultar nuestro informe de ICS CERT para conocer los detalles técnicos del ataque y los indicadores de compromiso.
Origen del nombre
Nuestros expertos encontraron algunas similitudes entre el ataque nuevo y la campaña ya conocida Manuscrypt, pero el análisis reveló que un actor completamente diferente, el grupo APT41, había utilizado antes parte del código del malware en sus ataques. Aún tenemos que determinar la responsabilidad del ataque nuevo, al que por ahora llamamos PseudoManuscrypt.
Cómo infecta PseudoManuscrypt el sistema
Para una infección exitosa deben darse una cadena compleja de eventos. Por lo general, el ataque a un ordenador comienza cuando el usuario descarga y ejecuta un malware que imita el paquete de instalación pirata de un software popular.
Puedes encontrarte con un señuelo de PseudoManuscrypt si buscas software pirata por Internet. Los sitios web que distribuyen código malicioso que coincide con búsquedas populares se encuentran entre los primeros resultados de los motores de búsqueda, una métrica que parece que los atacantes controlan a la perfección.
Aquí se puede ver claramente por qué ha habido tantos intentos de infección de sistemas industriales. Además de proporcionar malware que se hace pasar por software popular (como paquetes de oficina, soluciones de seguridad, sistemas de navegación y shooters 3D en primera persona), los atacantes también ofrecen paquetes de instalación falsos para software profesional, que incluye ciertas herramientas para interactuar con controladores lógicos programables (PLC) utilizando ModBus. El resultado: una cantidad anormalmente alta de ordenadores de sistemas de control industrial (ICS) infectados (un 7,2 % del total).
En el ejemplo de la captura de pantalla anterior aparece un software para gestores de sistemas e ingenieros de red. En teoría, este vector de ataque podría proporcionar a los atacantes acceso total a la infraestructura de la empresa.
Los atacantes también utilizan un mecanismo de entrega de tipo Malware-as-a-Service (MaaS), mediante el cual pagan a otros ciberdelincuentes para distribuir PseudoManuscrypt. Esta práctica da lugar a una función interesante que nuestros expertos encontraron mientras analizaban la plataforma MaaS: en ocasiones PseudoManuscrypt se agrupaba con otro malware que la víctima instalaba como un paquete único. El propósito de PseudoManuscrypt es espiar, pero otros programas maliciosos tienen otros objetivos, como el cifrado de datos para la extorsión de dinero.
¿A quién está dirigido PseudoManuscrypt?
La mayor cantidad de detecciones de PseudoManuscrypt ha tenido lugar en Rusia, India, Brasil, Vietnam e Indonesia y, de estos intentos de ejecución de código malicioso, los usuarios de las organizaciones industriales componen una buena parte. Dentro de las víctimas de este sector se incluyen gerentes de sistemas de automatización de edificios, empresas energéticas, fabricantes, empresas de construcción e incluso proveedores de servicios para plantas de tratamiento de aguas. Además, una cantidad inusualmente alta de ordenadores afectados estaban involucrados en procesos de ingeniería y en la producción de productos nuevos en empresas industriales.
Métodos de defensa contra PseudoManuscrypt
Para protegerte contra PseudoManuscrypt debes contar con soluciones de protección que sean de confianza y se actualicen con regularidad, además, deben instalarse en el 100 % de los sistemas de una empresa. Asimismo, recomendamos implementar políticas que dificulten la desactivación de esta protección.
Para los sistemas informáticos de la industria, también ofrecemos una solución especializada, Kaspersky Industrial CyberSecurity, que protege los ordenadores (incluidos los especializados) y supervisa las transferencias de datos que utilizan protocolos específicos.
También ten en cuenta la importancia de concienciar al personal sobre los riesgos de ciberseguridad. No puedes descartar por completo la posibilidad de un ataque de phishing ingenioso, pero sí puedes ayudar al personal a estar alerta y también informarle sobre el peligro de instalar software no autorizado (y especialmente el pirata) en ordenadores con acceso a los sistemas industriales.