Ciberespionaje: el grupo Chafer lanza una campaña contra embajadas en Irán

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Según explica la firma de seguridad, este backdoor tiene vinculación con un presunto grupo de ciberespionaje de habla farsi, conocido como Chafer.

Los ataques a las embajadas podrían sugerir un cambio de orientación en este grupo porque, cuando  fue detectado por primera vez en 2015, este grupo lo utilizó para una operación de vigilancia dirigida a personas y organizaciones en todo Oriente Medio. El hecho de que el backdoor utilizado en la nueva campaña tenga similitudes de código con muestras ya conocidas de Remexi hace que los analistas de Kaspersky Lab lo vinculen, con cierto grado de confianza, a Chafer.

El nuevo malware es capaz de ejecutar comandos de forma remota y hacer capturas de pantalla, de datos del navegador, incluyendo credenciales de acceso del usuario, datos e historial de inicio de sesión y cualquier texto escrito, entre otros. Los datos robados se filtran mediante la aplicación legítima Microsoft Background Intelligent Transfer Service (BITS), un componente de Windows diseñado para habilitar las actualizaciones de Windows en segundo plano. “La tendencia a combinar malware con código legítimo  ayuda a los ciberdelincuentes a ahorrar tiempo y recursos cuando crean el malware y hacer más complicada la atribución de su autoría”, señala Kaspersky.

Para protegerse contra el spyware la compañía recomienda utilizar una solución de seguridad corporativa con capacidades contra ataques dirigidos e inteligencia de amenazas, concienciar a los empleados en cuestión de seguridad para que sean capaces de identificar mensajes sospechosos, y proporcionar al equipo de seguridad acceso a datos actualizados de inteligencia de amenazas, para poder seguir el ritmo de las últimas tácticas y herramientas utilizadas por los ciberdelincuentes y mejorar los controles de seguridad que están ya en uso.

“Cuando hablamos de posibles campañas de ciberespionaje patrocinadas por gobiernos, las personas a menudo imaginan operaciones muy sofisticadas mediante el uso de herramientas desarrolladas por expertos. Sin embargo, los individuos detrás de esta campaña de spyware se parecen más a administradores de sistemas que a sofisticados actores de amenazas: saben cómo codificar, pero su campaña se basa más en el uso creativo de herramientas que ya existen, que en ofrecer técnicas nuevas y avanzadas o en la arquitectura elaborada de código. Sin embargo, incluso las herramientas relativamente más simples pueden llegar a causar un daño importante, por lo que sugerimos a las organizaciones que protejan su valiosa información y sistemas contra todos los niveles de amenazas, así como usar la inteligencia sobre amenazas para entender cómo está evolucionando el panorama”, dijo Denis Legezo, analista de seguridad de Kaspersky Lab.