Así es DeathStalker, el grupo APT que espía a las PYMES financieras

Guardar

Los stealers pueden robar información personal y económica
Los stealers pueden robar información personal y económica

Actualmente, las empresas se enfrentan a una amplia variedad de amenazas  que abarcan desde el ransomware y la fuga de datos hasta el espionaje comercial.

Estos ataques son llevados a cabo por actores de malware de nivel medio y, a veces, por grupos de hackers como DeathStalker, al que la compañía de ciberseguridad Kaspersky lleva siguiendo la pista desde 2018.

El equipo de Investigación de Kaspersky ha publicado ahora un resumen detallado sobre DeathStalker, un grupo 'mercenario' de APT que ha desarrollado eficaces ataques de espionaje contra bufetes de abogados y PYMES del sector financiero desde el 2012.

Según explica la compañía de ciberseguridad, DeathStalker "es muy flexible y se caracteriza por utilizar un enfoque repetitivo y rápido en el diseño de software, lo que les permite ejecutar eficazmente sus campañas".

Con las investigaciones recientes, Kaspersky ha podido vincular la actividad de DeathStalker con tres familias distintas de malware (Powersing, Evilnum y Janicab), lo que refleja la magnitud de la actividad llevada a cabo desde el 2012.

Kaspersky lleva rastreando Powersing desde el 2018 mientras que las otras dos familias han sido denunciadas por diversos proveedores de ciberseguridad. El análisis de las similitudes de los códigos y la victimología de las tres familias ha permitido a los investigadores relacionarlas entre sí con un nivel medio de confianza.

Siguiendo la información de este estudio, las tácticas, técnicas y procedimientos de los actores de amenazas han permanecido inalterables a lo largo de los años: se basan en correos electrónicos de "spear-phishing" adaptados a cada caso para enviar documentos que contienen archivos maliciosos.

Cuando el usuario pulsa en el enlace, se ejecuta un script malicioso y se descargan otros elementos desde Internet. Esto permite a los ciberdelincuentes tomar el control del equipo de la víctima.

Usan Powersing, el primer malware detectado de DeathStalker

Kaspersky ejemplifica esta forma de atacar con el uso que hacen de Powersing, un implante basado en Power-Shell que fue el primer malware detectado de este actor de amenazas. Una vez que el dispositivo de la víctima ha sido infectado, el malware es capaz de realizar capturas de pantalla periódicas y ejecutar scripts de Powershell de forma arbitraria.

Mediante el uso de métodos de persistencia alternativos que varían en función de la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de eludir la detección, lo que evidencia la capacidad de estos grupos para realizar pruebas de detección antes de cada campaña y ajustar los scripts en función de los resultados.

La compañía también señala que, en las campañas en las que emplea Powersing, DeathStalker también recurre a un conocido servicio público para combinar las comunicaciones iniciales de puerta trasera con el tráfico de red legítimo, limitando así la capacidad de los defensores para obstaculizar sus operaciones.

Con el uso de resolución de "dead-drop", colocados en una variedad de redes sociales, blogs y aplicaciones de mensajería legítimas, el actor logró evadir la detección y finalizar rápidamente a la campaña. Una vez que las víctimas están infectadas, son contactadas y redirigidas por esta táctica de resolución, ocultando así la cadena de comunicación.

Un ejemplo, proporcionado por Kaspersky, de resolución ' dead-drop' alojado en un servicio público legítimo.

DeathStalker actúa en todo el mundo

Por otra parte, Kaspersky ha advertido que la actividad de DeathStalker ha sido detectada en todo el mundo, lo que pone de manifiesto el tamaño de sus operaciones. Se han detectado acciones relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, Reino Unido y Emiratos Árabes Unidos. Asimismo, Kaspersky ha localizado víctimas de Evilnum en Chipre, Emiratos Árabes Unidos, India, Líbano y Rusia.

"Para mantenerse protegidos frente a DeathStalker, recomendamos a las empresas que desactiven en la medida de lo posible la posibilidad de utilizar lenguajes como powershell.exe y cscript.exe. Asimismo, recomendamos que en los programas de concienciación y las evaluaciones de productos de seguridad futuras incluyan cadenas de infección basadas en archivos LNK (de acceso directo)", ha señalado Ivan Kwiatkowski, investigador de seguridad senior del equipo GReAT de Kaspersky.