Nuestros expertos han encontrado rastros de la actividad de un nuevo grupo que esp\u00eda empresas industriales. Los ciberdelincuentes realizan ataques dirigidos mediante una herramienta que nuestros investigadores llaman MontysThree y buscan documentos en los ordenadores de las v\u00edctimas. El grupo parece llevar en activo al menos desde el 2018.<\/p>\n
Los ciberdelincuentes utilizan t\u00e9cnicas cl\u00e1sicas de spear-phishing<\/em> para penetrar en los ordenadores de las v\u00edctimas, enviando correos que contienen ficheros ejecutables que parecen documentos en formato .pdf o .doc a los empleados de las empresas industriales. Dichos archivos normalmente tienen nombres como \u201cActualizaci\u00f3n corporativa de datos\u201d, \u201cEspecificaci\u00f3n t\u00e9cnica\u201d, \u201cLista de n\u00fameros de tel\u00e9fono de empleados 2019\u201d y similares. En algunos casos, los atacantes intentan hacer que los archivos parezcan documentos m\u00e9dicos, con nombres como \u201cResultados del an\u00e1lisis m\u00e9dico\u201d o \u201cInvitro-106650152-1.pdf\u201d (Invitro es uno de los laboratorios cl\u00ednicos m\u00e1s importantes de Rusia).<\/p>\n MontysThree busca documentos espec\u00edficos en los formatos de Microsoft Office y Adobe Acrobat situados en varios directorios y medios conectados. Despu\u00e9s de la infecci\u00f3n, el malware<\/em> traza un perfil del ordenador de la v\u00edctima: env\u00eda la versi\u00f3n del sistema, una lista de procesos y capturas de escritorio a su servidor de mando y control<\/a>, as\u00ed como una lista de documentos recientemente abiertos, junto con sus extensiones .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw y .pwd en los directorios USERPROFILE y APPDATA.<\/p>\n Los desarrolladores implementaron varios mecanismos un tanto inusuales en su malware<\/em>. Por ejemplo, tras la infecci\u00f3n, el m\u00f3dulo de descarga extrae y descifra el m\u00f3dulo principal, que est\u00e1 cifrado en una imagen con esteganograf\u00eda<\/a>. Nuestros expertos creen que los atacantes escribieron el algoritmo de esteganograf\u00eda desde cero; es decir, que no lo copiaron de muestras de c\u00f3digo abierto, como a menudo sucede.<\/p>\n El malware<\/em> se comunica con el servidor de mando y control mediante servicios de nube p\u00fablicos como Google, Microsoft y Dropbox, as\u00ed como WebDAV. Adem\u00e1s, el m\u00f3dulo de comunicaciones puede enviar solicitudes mediante RDP y Citrix. Por si fuera poco, los creadores del malware<\/em> no insertaron ning\u00fan protocolo de comunicaci\u00f3n en su c\u00f3digo; en su lugar, MontyThree utiliza programas leg\u00edtimos (RDP, clientes de Citrix e Internet Explorer).<\/p>\n Para mantener el malware<\/em> el m\u00e1ximo tiempo posible en el sistema de la v\u00edctima, un m\u00f3dulo auxiliar modifica los m\u00e9todos abreviados en el panel de Inicio r\u00e1pido de Windows, de forma que, cuando el usuario lanza un m\u00e9todo abreviado (por ejemplo, para abrir el navegador), el m\u00f3dulo cargador de MontyThree se ejecuta al mismo tiempo.<\/p>\n Nuestros expertos no ven se\u00f1ales que relacionen a los creadores de MontysThree con ataques recientes. Seg\u00fan parece, se trata de un grupo de ciberdelincuentes totalmente nuevo y, a juzgar por varios fragmentos de texto del c\u00f3digo, el ruso es la lengua materna de los autores. Asimismo, muy probablemente su objetivo principal sean las empresas de habla rusa; algunos de los directorios en los que el malware<\/em> busca existen en la versi\u00f3n en cir\u00edlico del sistema. Aunque nuestros expertos tambi\u00e9n encontraron informaci\u00f3n de la cuenta para los servicios de comunicaciones que sugieren un origen en China, parecen se\u00f1uelos falsos cuyo objetivo es ocultar el rastro de los atacantes.<\/p>\n En esta publicaci\u00f3n de Securelist encontrar\u00e1s una descripci\u00f3n t\u00e9cnica detallada de MontysThree, junto con los indicadores de compromiso<\/a>.<\/p>\n En primer lugar, empieza por comunicar una vez m\u00e1s a los empleados que los ataques dirigidos a menudo empiezan por un correo electr\u00f3nico, por lo que deben ser extremadamente precavidos a la hora de abrir archivos, especialmente aquellos que no est\u00e9n esperando. Para asegurarte de que entienden la necesidad de este estado de alerta, te recomendamos que no solo menciones los peligros de dicho comportamiento, sino que tambi\u00e9n fomentes sus habilidades para contrarrestar las ciberamenazas modernas mediante Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n\nQu\u00e9 quieren los atacantes<\/h2>\n
Qu\u00e9 m\u00e1s puede hacer MontysThree<\/h2>\n
\u00bfQui\u00e9nes son los atacantes?<\/h2>\n
\u00bfC\u00f3mo actuar?<\/h2>\n