{"id":18226,"date":"2019-04-10T10:47:01","date_gmt":"2019-04-10T08:47:01","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18226"},"modified":"2022-05-05T12:06:19","modified_gmt":"2022-05-05T10:06:19","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/gaza-cybergang\/18226\/","title":{"rendered":"Gaza Cybergang y su campa\u00f1a SneakyPastes"},"content":{"rendered":"

En la conferencia Security Analyst Summit (SAS) de Kaspersky, ya es tradici\u00f3n que hablemos de los ataques de APT<\/a>, de hecho, fue all\u00ed donde publicamos por primera vez informaci\u00f3n sobre Slingshot<\/a>, Carbanak<\/a> y Careto<\/a>. Los ataques dirigidos est\u00e1n al alza y este a\u00f1o no ha sido la excepci\u00f3n: en la SAS\u00a02019 en Singapur, hablamos de un grupo de APT llamado Gaza Cybergang.<\/p>\n

Un arsenal variado<\/h3>\n

Gaza Cybergang est\u00e1 especializado en ciberespionaje y su acci\u00f3n se limita a Oriente Medio y pa\u00edses de Asia Central. Su objetivo principal son los pol\u00edticos, diplom\u00e1ticos, periodistas, activistas y otros ciudadanos pol\u00edticamente activos de la regi\u00f3n.<\/p>\n

En cuanto al n\u00famero de ataques que registramos desde enero del 2018 hasta enero del 2019, los objetivos que encabezan la lista se encuentran dentro del territorio palestino. Tambi\u00e9n hubo intentos de infecci\u00f3n en Jordania, Israel y L\u00edbano. En sus ataques, la banda utiliz\u00f3 m\u00e9todos y herramientas de distintos grados de complejidad.<\/p>\n

Nuestros expertos han identificado tres subgrupos en la banda y ya hemos cubierto dos de ellos. Uno fue el responsable de la campa\u00f1a los Halcones del desierto<\/a> y el otro estaba detr\u00e1s de los ataques personalizados conocidos como Operation Parliament<\/a>.<\/p>\n

Bien, ahora toca hablar del tercero, al que llamaremos MoleRATs. El grupo cuenta con herramientas relativamente simples, aunque su campa\u00f1a SneakyPastes (nombrada as\u00ed por el uso de pastebin.com) no resulta para nada inofensiva.<\/p>\n

SneakyPastes<\/h3>\n

La campa\u00f1a presenta m\u00faltiples etapas. Comienza con phishing<\/em>, enviando correos desde direcciones y dominios de un solo uso. A veces, los correos contienen enlaces hacia malware<\/em> o archivos adjuntos infectados. Si la v\u00edctima ejecuta el archivo adjunto (o si accede al enlace), su dispositivo se infectar\u00e1 con el malware<\/em> Stage One, programado para activar la cadena de infecci\u00f3n.<\/p>\n

Los correos, que buscan apaciguar la desconfianza del lector, suelen estar relacionados con la pol\u00edtica: negociaciones pol\u00edticas o discursos de organizaciones de prestigio.<\/p>\n

Una vez alojado en el ordenador, el malware<\/em> One Stage intenta afianzar su posici\u00f3n, se esconde de cualquier soluci\u00f3n antivirus y oculta el servidor de mando.<\/p>\n

Los atacantes utilizan servicios p\u00fablicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com y pomf.cat) para las etapas posteriores del ataque (incluyendo el env\u00edo del malware<\/em>) y, sobre todo, para comunicarse con el servidor de mando. Normalmente, utilizan diversos m\u00e9todos a la vez para enviar la informaci\u00f3n extra\u00edda.<\/p>\n

Por \u00faltimo, el dispositivo acaba infectado con el malware RAT<\/a>, que concede un gran poder a los ciberdelincuentes, como descargar y cargar libremente archivos, ejecutar aplicaciones, buscar documentos y cifrar informaci\u00f3n.<\/p>\n

El malware<\/em> analiza el ordenador de la v\u00edctima con el fin de localizar todos los archivos PDF, DOC, DOCX y XLSX, los guarda en carpetas temporales, los clasifica, archiva y cifra y, finalmente, los env\u00eda a un servidor de mando mediante una cadena de dominios.<\/p>\n

Hemos identificado m\u00faltiples herramientas en este tipo de ataque. Si quieres conocer m\u00e1s acerca de ellas y obtener informaci\u00f3n m\u00e1s t\u00e9cnica, no te pierdas esta publicaci\u00f3n de Securelist.<\/a><\/p>\n

Protecci\u00f3n integrada contra amenazas integradas<\/h3>\n

Nuestros productos est\u00e1n destinados a combatir con \u00e9xito los componentes utilizados en la campa\u00f1a SneakyPastes. Si quieres evitar ser una de las v\u00edctimas, sigue estos consejos:<\/p>\n