18 de julio de 2019

Expertos descubren peligroso malware que se activa con tres clicks del mouse

Aunque pensemos que el espionaje está reservado a las películas y a la ficción, la verdad es que es un problema real y mundial. Un grupo de investigadores en ciberseguridad descubrieron una serie de ataques de un grupo asiático conocido como Ke3chang, usando un malware nunca antes visto, denominado Okrum.

Se sospecha que el grupo opera fuera de las fronteras de China, y reporta sus descubrimientos al gobierno central en Beijing. Muchas de estas sospechas se fundan en ataques anteriores a diplomáticos de Europa, Centro y Sudamérica. El país más atacado por el grupo es Eslovaquia. De todas maneras, desde el 2017 Ke3chang ha atacado en Bélgica, Croacia, la República Checa y también Brasil, Chile y Guatemala.

Los ataques de Ke3chang usando Okrum son selectivos, con blancos muy bien identificados. Debido a su naturaleza privada y al subterfugio, es natural pensar que se trata de una operación de espionaje internacional.

Expertos descubren peligroso malware que se activa con tres clicks del mouse

Cómo funciona el malware Okrum

Según una investigación de ESET, Okrum tiene un método muy inteligente para activarse y desaparecer. Todavía no está muy claro de qué manera se distribuye, pero el malware tiene un sistema de seguridad que detecta si está ejecutándose en una máquina sandbox o de investigación. De ser así, se autoelimina para evitar ser detectado y analizado.

El payload del malware sólo se activa luego de presionar tres veces el botón izquierdo del mouse. La razón es simple: saber que se trata de una máquina funcional, y no una trampa.

Después de instalarse, Okrum puede entregarse a sí mismo privilegios de administrador. Luego procede a recolectar información de la máquina infectada: nombre de usuario, dirección del host IP, y qué versión del sistema operativo está instalada.

El malware también es capaz de bajar y subir archivos, presuntamente para robarlos de las máquinas diplomáticas. Incluso se ha probado que Okrum puede instalar Mimikatz, un conocido keylogger y ladrón de contraseñas.

Ke3chang no va a parar

La investigación de ESET fue más allá. Según los expertos en ciberseguridad Ke3chang lleva actuando más de una década, y sus métodos se han ido perfeccionando.

Es muy probable que el grupo chino, cuya actividad es muy difícil de detectar, siga actuando en el futuro. Ante ello, es muy posible que se necesite reforzar la seguridad de blancos diplomáticos en todo el mundo.

 




☛ El artículo completo original de Norman Gutiérrez lo puedes ver aquí.

No hay comentarios.:

Publicar un comentario