Kaspersky Lab descubrió recientemente una nueva campaña de ciberespionaje dirigida a negocios llamada Grabit que pudo robar cerca de 10,000 archivos de empresas pequeñas/medianas principalmente de Tailandia, India y los Estados Unidos. La lista de los sectores objetivo incluye las áreas de la química, nanotecnología, educación, agricultura, medios, construcción y otros.
Otros países afectados son Emiratos Árabes Unidos, Alemania, Israel, Canadá, Francia, Austria, Sri Lanka, Chile y Bélgica.
“Vemos muchas campañas de espionaje enfocadas en empresas, organizaciones gubernamentales y otras entidades de alto perfil en donde rara vez se ven negocios pequeños o medianos en las listas de objetivos. Sin embargo, Grabit demuestra que no se trata sólo del juego del “pez grande”– en el mundo cibernético cada organización, que tenga dinero, información o influencia política, podría ser del interés potencial de uno u otro actor malicioso. Grabit sigue activo, y es crucial que las PyMEs revisen su red para asegurar que no haya sido afectada. El 15 de mayo se encontró que un registrador de teclas de Grabit estaba registrando miles de credenciales de cuentas de víctimas de cientos de sistemas infectados. Esta amenaza no se debe subestimar”, dijo Ido Noar, Investigador Senior de Seguridad del Equipo de Análisis e Investigación Global de Kaspersky Lab.
La infección comienza cuando un usuario de alguna organización comercial recibe un correo electrónico con un enlace que luce como un archivo de Word (.doc) de Microsoft Office. El usuario hace clic para descargarlo y el programa de espionaje entra a la máquina desde un servidor remoto que ha sido hackeado por el grupo para que sirva como un concentrador de malware. Los atacantes controlan a sus víctimas mediante un registrador de teclas HawkEye, una herramienta comercial de espionaje de HawkEyeProducts, y un módulo de configuración que contiene varias Herramientas de Administración Remota (RATs).
Para ilustrar la escala de la operación, Kaspersky Lab puede revelar que un registrador de teclas en sólo uno de los servidores de comando y control fue capaz de robar 2,887 contraseñas, 1,053 correos electrónicos y 3,023 nombres de usuario de 4,928 anfitriones diferentes, interna y externamente, incluyendo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo!, LinkedIn y Twitter, así como cuentas bancarias y otros.
Un grupo errático de ciberdelincuentes
Por un lado, el actor de Grabit no se preocupa por ocultar su actividad: algunas muestras maliciosas utilizaron el mismo servidor, incluso las mismas credenciales, debilitando su propia seguridad. Por otro lado, los atacantes utilizan técnicas fuertes de mitigación para mantener su código oculto para los ojos de analistas. Esto lleva a pensar a Kaspersky Lab que atrás de la operación de olfateo se encuentra un grupo errático, con algunos miembros más técnicos y enfocados en no ser rastreados que otros. El análisis experto sugiere que quienquiera que haya programado el malware no escribió todo el código desde cero.
Para protegerse contra Grabit, Kaspersky Lab ofrece los siguientes consejos:
- Revise esta ubicación: C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, si contiene archivos ejecutables, usted podría estar infectado con el malware. Esto es una advertencia que no debe ignorar.
- Las Configuraciones del Sistema Windows no deben contener un archivo ejecutable grabit1.exe en la tabla de arranque. Ejecute “msconfig” y asegúrese que no contenga los registros de grabit1.exe.
- No abra archivos anexos y enlaces de personas que no conozca. Si no lo puede abrir, no lo envié a otros – pida asistencia a un administrador de TI.
- Utilice una solución avanzada antimalware actualizada, y siempre siga la lista de tareas del antivirus para procesos sospechosos.