Un ciberespía que vigila a PyMEs
En América Latina, Chile se encuentra entre los países afectados
Kaspersky Lab descubrió recientemente una nueva campaña de ciberespionaje dirigida a negocios llamada Grabit que pudo robar cerca de 10,000 archivos de empresas pequeñas/medianas principalmente de Tailandia, India y los Estados Unidos. La lista de los sectores objetivo incluye las áreas de la química, nanotecnología, educación, agricultura, medios, construcción y otros.
Otros países afectados son Emiratos Árabes Unidos, Alemania, Israel, Canadá, Francia, Austria, Sri Lanka, Chile y Bélgica.
La infección comienza cuando un usuario de alguna organización comercial recibe un correo electrónico con un enlace que luce como un archivo de Word (.doc) de Microsoft Office. El usuario hace clic para descargarlo y el programa de espionaje entra a la máquina desde un servidor remoto que ha sido hackeado por el grupo para que sirva como un concentrador de malware. Los atacantes controlan a sus víctimas mediante un registrador de teclas HawkEye, una herramienta comercial de espionaje de HawkEyeProducts, y un módulo de configuración que contiene varias Herramientas de Administración Remota (RATs).
Para ilustrar la escala de la operación, Kaspersky Lab puede revelar que un registrador de teclas en sólo uno de los servidores de comando y control fue capaz de robar 2,887 contraseñas, 1,053 correos electrónicos y 3,023 nombres de usuario de 4,928 anfitriones diferentes, interna y externamente, incluyendo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo!, LinkedIn y Twitter, así como cuentas bancarias y otros.
Un grupo errático de ciberdelincuentes
Por un lado, el actor de Grabit no se preocupa por ocultar su actividad: algunas muestras maliciosas utilizaron el mismo servidor, incluso las mismas credenciales, debilitando su propia seguridad. Por otro lado, los atacantes utilizan técnicas fuertes de mitigación para mantener su código oculto para los ojos de analistas. Esto lleva a pensar a Kaspersky Lab que atrás de la operación de olfateo se encuentra un grupo errático, con algunos miembros más técnicos y enfocados en no ser rastreados que otros. El análisis experto sugiere que quienquiera que haya programado el malware no escribió todo el código desde cero.
Para protegerse contra Grabit, Kaspersky Lab ofrece los siguientes consejos:
- Revise esta ubicación: C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, si contiene archivos ejecutables, usted podría estar infectado con el malware. Esto es una advertencia que no debe ignorar.
- Las Configuraciones del Sistema Windows no deben contener un archivo ejecutable grabit1.exe en la tabla de arranque. Ejecute «msconfig» y asegúrese que no contenga los registros de grabit1.exe.
- No abra archivos anexos y enlaces de personas que no conozca. Si no lo puede abrir, no lo envié a otros – pida asistencia a un administrador de TI.
- Utilice una solución avanzada antimalware actualizada, y siempre siga la lista de tareas del antivirus para procesos sospechosos.
Los productos de Kaspersky Lab detectan todas las muestras conocidas de Grabit y protegen a usuarios contra esta amenaza.