El grupo de ciberespionaje Chafer ataca embajadas con un software espía actualizado de fabricación casera

6 febrero, 2019
19 Compartido 2,591 Visualizaciones

Los analistas de Kaspersky Lab han detectado numerosos intentos de infectar sedes diplomáticas extranjeras en Irán con programas espía de fabricación casera. Parece que los ataques utilizan una versión actualizada de Remexi (backdoor). En esta campaña también se han utilizado herramientas legítimas.

El Backdoor Remexi tiene vinculación con un presunto grupo de ciberespionaje de habla farsi, conocido como Chafer, asociado anteriormente con acciones de cibervigilancia a individuos de Oriente Medio. Los ataques a las embajadas podrían sugerir un cambio de orientación en este grupo.

Remexi fue detectado por primera vez en 2015, cuando el grupo de ciberespionaje Chafer lo utilizó para una operación de ciber vigilancia dirigida a personas y organizaciones en todo Oriente Medio. El hecho de que el backdoor utilizado en la nueva campaña tenga similitudes de código con muestras ya conocidas de Remexi hace que los analistas de Kaspersky Lab lo vinculen, con cierto grado de confianza, a Chafer.

El nuevo malware Remexi es capaz de ejecutar comandos de forma remota y hacer capturas de pantalla, de datos del navegador, incluyendo credenciales de acceso del usuario, datos e historial de inicio de sesión y cualquier texto escrito, entre otros. Los datos robados se filtran mediante la aplicación legítima Microsoft Background Intelligent Transfer Service (BITS), un componente de Windows diseñado para habilitar las actualizaciones de Windows en segundo plano. La tendencia a combinar malware con código legítimo  ayuda a los ciberdelincuentes a ahorrar tiempo y recursos cuando crean el malware y hacer más complicada la atribución de su autoría.

Cuando hablamos de posibles campañas de ciberespionaje patrocinadas por gobiernos, las personas a menudo imaginan operaciones muy sofisticadas mediante el uso de herramientas desarrolladas por expertos. Sin embargo, los individuos detrás de esta campaña de spyware se parecen más a administradores de sistemas que a sofisticados actores de amenazas: saben cómo codificar, pero su campaña se basa más en el uso creativo de herramientas que ya existen, que en ofrecer técnicas nuevas y avanzadas o en la arquitectura elaborada de código. Sin embargo, incluso las herramientas relativamente más simples pueden llegar a causar un daño importante, por lo que sugerimos a las organizaciones que protejan su valiosa información y sistemas contra todos los niveles de amenazas, así como usar la inteligencia sobre amenazas para entender cómo está evolucionando el panorama”, dijo Denis Legezo, analista de seguridad de Kaspersky Lab.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Descubren una estrecha colaboración entre grupos de ciberdelincuentes en Latinoamérica
Actualidad
6 compartido1,342 visualizaciones
Actualidad
6 compartido1,342 visualizaciones

Descubren una estrecha colaboración entre grupos de ciberdelincuentes en Latinoamérica

Aina Pou Rodríguez - 5 octubre, 2020

Investigadores de ESET han analizado las pautas de colaboración e interconexión entre las diferentes familias de troyanos  bancarios con origen…

Kingston revela 3 claves para mejorar la seguridad de los datos
Soluciones Seguridad
21 compartido2,079 visualizaciones
Soluciones Seguridad
21 compartido2,079 visualizaciones

Kingston revela 3 claves para mejorar la seguridad de los datos

José Luis - 3 septiembre, 2018

En 7 de cada 10 ocasiones, la pérdida de datos se debe a fallos operativos de discos duros. Borrado de…

Kaspersky da a conocer los detalles de una serie de ataques dirigidos a empresas industriales
Actualidad
6 compartido1,340 visualizaciones
Actualidad
6 compartido1,340 visualizaciones

Kaspersky da a conocer los detalles de una serie de ataques dirigidos a empresas industriales

Aina Pou Rodríguez - 10 junio, 2020

A principios de 2020 se descubrió una serie de ataques dirigidos contra organizaciones industriales en diversas regiones. Los ataques dirigidos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.