El grupo Chafer estaría detrás de varios intentos de infectar entidades diplomáticas extranjeras en Irán con programas de espionaje de fabricación casera, de acuerdo a las investigaciones adelantadas por el equipo de Kaspersky Lab.
Todo parece indicar que estos ciberataques se han valido de una actualización de la puerta trasera Remexi, además de varias herramientas legítimas. Hay que destacar que Remexi ya había sido vinculado al grupo Chafer, un presunto conjunto de ciberespionaje de idioma farsi, relacionado anteriormente con la vigilancia cibernética de personas en el Medio Oriente.
En un comunicado de prensa de Kaspersky Lab se ha anunciado que la elección de las embajadas para sus recientes ciberataques podría sugerir un nuevo objetivo para el conocido grupo.
“Esta operación resalta cómo los agentes de amenazas en las regiones emergentes montan campañas contra objetivos de interés utilizando malware relativamente básico y de fabricación casera combinado con herramientas que se encuentran disponibles al público”.
En este caso, según la publicación, los atacantes utilizaron una versión mejorada de la puerta trasera Remexi que permite administrar a distancia la máquina de la víctima.
Capacidades de Remexi
Se ha conocido que Remexi fue detectada por primera vez en 2015 y que fue utilizada por el grupo Chafer (dedicado al ciberespionaje) para una operación de vigilancia cibernética dirigida a individuos y organizaciones en todo el Medio Oriente.
Tomando en cuenta ese antecedente y, en vista de que el malware de puerta trasera utilizado en la nueva campaña tenga un código similar a las muestras conocidas de Remexi, combinado con el conjunto de víctimas a las que va dirigida, ha impulsado a los investigadores de Kaspersky Lab a vincular al grupo Chafer con relativa certeza en estas acciones.
“El malware Remexi recién descubierto es capaz de ejecutar órdenes a distancia y obtener capturas de pantalla, así como datos del navegador, que incluyen credenciales del usuario, datos e historial de inicio de sesión y cualquier texto que se haya escrito, entre otras cosas”.
De acuerdo al equipo, la información robada se filtra mediante la aplicación legítima conocida como BITS (Background Intelligent Transfer Service), de Microsoft, un componente de Windows que está diseñado para posibilitar las actualizaciones de este sistema operativo en un segundo plano.
Esta tendencia de combinar malware con código robado o legítimo ayuda a los ciberatacantes a ahorrar tiempo y recursos en la creación del malware, además de hacer más complicada la detección de su origen.
Denis Legezo, investigador de seguridad en Kaspersky Lab, ha dicho que cuando se habla de posibles campañas de ciberespionaje patrocinadas por los Estados, la gente a menudo imagina que son operaciones avanzadas que emplean herramientas complejas desarrolladas por expertos.
“Sin embargo, las personas que están detrás de esta campaña de spyware parecen más administradores de sistemas que experimentados agentes de amenazas: saben cómo codificar, pero su campaña se basa más en el uso creativo de herramientas existentes que en características nuevas y avanzadas o en código de arquitectura elaborada”.
A pesar de eso, ha explicado que las herramientas relativamente simples, incluso, pueden causar un daño considerable. Es por eso que desde el grupo de investigación de Kaspersky Lab han instado a las organizaciones a proteger su valiosa información y sistemas contra todos los niveles de amenazas.
Protección contra ciberataques
Legezo ha recomendado utilizar la inteligencia contra amenazas para comprender cómo está evolucionando el panorama y mantenerse protegidos de ciberataques. Según dijo, los productos de Kaspersky detectan el malware Remexi actualizado como Trojan.Win32.Remexi y Trojan.Win32.Agent.
Para protegerse contra ataques dirigidos de spyware también ha exhortado a utilizar una solución de seguridad comprobada de nivel corporativo, con funciones contra ataques dirigidos e inteligencia contra amenazas, como la solución Kaspersky Threat Management and Defense.
“Esta solución puede detectar y capturar los ataques dirigidos avanzados analizando anomalías de la red y proporcionando a los equipos de ciberseguridad una visibilidad total de la red, así como la automatización de la respuesta”.
Desde el equipo investigador de Kaspersky Lab igualmente se ha pedido incluir iniciativas para crear conciencia de la seguridad que permitan a los empleados dominar la posibilidad de identificar mensajes sospechosos.
Se ha indicado que el correo electrónico es un punto de entrada común para ataques dirigidos. En este caso, “los clientes de Kaspersky Lab se beneficiarían con Kaspersky Security Awareness Training”, según el comunicado de prensa.
“Proporcione a su equipo de seguridad acceso a datos actualizados de inteligencia contra amenazas”, es otra de las recomendaciones ofrecidas desde de la compañía de ciberseguridad.
La idea es mantenerse al tanto de las tácticas y herramientas más recientes utilizadas por los ciberdelincuentes, además de mejorar los controles de seguridad que ya están en uso.