Cibercriminales ahora tienen en la mira a la industria aeroespacial

CIUDAD DE MÉXICO.- Los cibercriminales ahora tienen en la mira a empresas de la industria aeroespacial y a organizaciones militares ubicadas en Europa y Medio Oriente, su método de ataque es muy particular porque aprovechan la red social LinkedIn para acercarse a sus víctimas.

Fueron los investigadores de ESET quienes encontraron esta campaña a la que decidieron nombrar “Operation In(ter)ception” cuyo primer objetivo es obtener información confidencial de los blancos y, el segundo, tener una ganancia financiera.

“Usualmente no vemos mucho esta combinación de espionaje y robo de dinero, pero sin duda es una tendencia que crecerá”, consideró el jefe de investigación de amenazas de ESET Canadá, Jean-Ian Boutin.

Recomendamos: Los riesgos que no te dicen por descargar y usar FaceApp

Detalló que los ataques encontrados tuvieron lugar entre septiembre y diciembre del año pasado, por lo que es probable que la campaña aún siga activa y que de momento no se pueda cuantificar el número de víctimas.

Lo nuevo

En el marco de ESET Virtual World, Boutin comentó que esta campaña difiere de otros métodos antes vistos porque los atacantes crean un perfil en LinkedIn haciéndose pasar por compañías conocidas, en este caso relacionadas con la industria aeroespacial. El siguiente paso es contactar, ya sea a través de un correo o un mensaje de chat, a personas que laboran en la empresa objetivo siendo el pretexto ofrecerles una oportunidad de empleo.

Tras entablar comunicación, relató el investigador, les envían un documento PDF con las vacantes y sueldos propuestos, pero en este paso suenan las alarmas. Esto porque le indican al trabajador que deberá usar una clave, dar algunos permisos y hasta se tendrá un ejecutable para ver el archivo.

Si la víctima sigue los pasos, en su equipo se instalará un malware conocido como “Inception.dll” que se encargará de descargar otros códigos para robar información, la forma en que la extraen los datos es archivándolos en un documento RAR con contraseña que se sube a una cuenta de Dropbox.

Boutin indicó que el ataque no termina ahí, aprovechando las cuentas comprometidas intentan extraer dinero de otras compañías. Por ejemplo, si encuentran entre los correos electrónicos de la víctima comunicación con un cliente con respecto a una factura no resuelta tratan de seguir la conversación e instar al cliente a pagar, aunque cambiando la cuenta bancaria.

“Afortunadamente, el cliente de la compañía víctima comenzó a sospechar y se acercó a la víctima para pedir ayuda, frustrando el intento de los atacantes de llevar a cabo un llamado ataque de compromiso de correo electrónico comercial”, precisó el investigador.

¿Quién está detrás?

Si bien es difícil indicar quién está detrás de estos ataques, los expertos de ESET creen que han suficiente evidencia en este caso como para pensar que se trata de una campaña realizada por el Grupo Lazarus.

Esto porque hay similitudes en el código utilizado, coincide con un periodo de actividad en la región del grupo y se usó una variante de la puerta trasera NukeSped que han ocupado en otros ataques.

“Los ataques que investigamos mostraron todos los signos de espionaje, con varias pistas que sugieren un posible vínculo con el infame Grupo de Lazarus. Sin embargo, ni el análisis de malware ni la investigación nos permitieron obtener una idea de a qué archivos apuntaban los atacantes”, agregó sobre la posible información robada.