Silence: nueva campaña APT

1 Nov 2017

Nuestros expertos han descubierto un nuevo ataque dirigido a instituciones financieras, un Troyano llamado Silence. Los bancos rusos se encuentran en la primera línea de fuego, pero las organizaciones de Malasia y Armenia también han sido infectadas.

Estratégicamente, el ataque es muy similar a Carbanak: enviaban un mail de phishing con un archivo malicioso adjunto a los empleados de bancos y organizaciones financieras, después los espiaban, y luego efectuaban transacciones fraudulentas. Los operadores de este método ya han conseguido miles de millones de dólares anteriormente, así qué, ¿por qué no intentarlo de nuevo?

Sin embargo, esta vez, los atacantes han perfeccionado el mail trampa. Una vez infectado y estando infiltrados en la infraestructura de una organización, los atacantes empiezan a enviar “contratos” a los socios del banco. La siguiente víctima recibe un mensaje de phishing desde la dirección real de una persona que trabaja en el banco. Esto incrementa mucho la probabilidad de que hagan clic en el archivo adjunto.

Cómo funciona Silence

La víctima, un empleado financiero abre el archivo adjunto de su “contrato”, el cual tiene la extensión .chm, un archivo de ayuda de Microsoft. El archivo HTML embebido contiene un código JavaScript malicioso, el cual carga y activa un dropper que luego carga los módulos del Troyano Silence, el cual opera como un servicio de Windows. Hemos descubierto módulos para control y monitorización, grabación de pantalla, y comunicación con servidores de control, además de un programa para la ejecución remota de comandos.

Los módulos permiten a los atacantes recolectar datos sobre la red infectada y grabar imágenes de las pantallas de los empleados. Primero monitorizan a todos, pero después se enfocan en aquellos que poseen información financiera útil. Una vez los intrusos tienen suficiente conocimiento sobre cómo funcionan los sistemas de información de las víctimas, dan la orden de transferir los fondos a sus propias cuentas.

Los detalles técnicos e IOCs (indicadores de compromiso) los puedes encontrar en este post de Securelist.

Cómo proteger tu empresa contra el ataque de Silence

Como podrás ver, no es suficiente con recordarle a los empleados que no deben abrir los archivos adjuntos de mails externos. Para proteger las instituciones financieras contra las ciberamenazas modernas actuales, te recomendamos lo siguiente:

  1. Haz sesiones y talleres para concienciar a los empleados. Por ejemplo, échale un vistazo a Kaspersky Security Awareness: no es una serie de lecturas sobre amenazas, sino ejercicios más prácticos con simulaciones de ataques para ayudar a los empleados a desarrollar habilidades prácticas.
  2. Utiliza soluciones que sean capaces de detectar anomalías en la red a niveles más profundos. Por ejemplo, Kaspersky Anti Targeted Attack. Esta solución de seguridad es capaz de detectar ataques dirigidos incluso si emplean métodos aún desconocidos.