Detectado un nuevo spyware dirigido a empresas financieras y centros de investigación

  • Actualidad

Kaspersky ha identificado una nueva herramienta de espionaje previamente desconocida dirigida a instituciones financieras y centros de investigación de la India. Ha sido utilizado para cargar y descargar archivos en los sistemas de las víctimas, registrar pulsaciones de teclas y realizar otras acciones típicas de una herramienta maliciosa de administración en remoto (RAT).

Según el equipo de investigación y análisis de Kaspersky, este spyware, denominado Dtrack, ha sido creado por el grupo Lazarus, y se ha estado utilizando para cargar y descargar archivos en los sistemas de las víctimas, registrar pulsaciones de teclas y realizar otras acciones típicas de una herramienta maliciosa de administración en remoto (RAT).

Así lo explica la firma: en 2018, sus invesgitadores descubrieron ATMDtrack, un malware creado para infiltrarse en los cajeros automáticos de la India y robar datos de tarjetas de clientes. Tras una investigación más profunda, utilizando Kaspersky Attribution Engine y  otras herramientas, han encontrado más de 180 nuevas muestras de malware con similitudes en la secuencia de código con ATMDtrack, pero que no estaban dirigidos a los cajeros automáticos. En su lugar, su lista de funciones las define como herramientas de espionaje, ahora conocidas como Dtrack. Además, las dos cepas no sólo comparten similitudes entre sí, sino también con la campaña DarkSeoul de 2013, atribuida a Lazarus, actor de amenazas avanzadas persistentes responsable de múltiples operaciones de sabotaje y ciberespionaje.

Dtrack puede utilizarse como una herramienta de administración en remoto (RAT), lo que supone otorgar a los actores de amenazas control total sobre los dispositivos infectados. De esta forma, los delincuentes pueden realizar diferentes operaciones, como cargar y descargar archivos y ejecutar procesos clave.

Las entidades a las que se dirigen los actores de amenazas que utilizan Dtrack RAT a menudo tienen políticas de seguridad de red débiles y contraseñas estándar, y fallan en el seguimiento del tráfico en la organización, explican desde la compañía. Si se implementa correctamente, el spyware puede registrar todos los archivos y procesos en ejecución disponibles, el registro de claves, el historial del navegador y las direcciones IP del host, incluida la información sobre las redes disponibles y las conexiones activas.

El malware recién descubierto está activo y según la telemetría de Kaspersky, aún se utiliza.

El especialista, que tiene productos que detectan y bloquean este malware, ha emitido una serie de recomendaciones para evitar ser afectado por malware como Dtrack RAT. Entre ellas destacan el uso de un software de monitorización del tráfico; la adopción de soluciones de seguridad probadas equipadas con tecnologías de detección basadas en el comportamiento; realizar auditorías de seguridad periódicas de la infraestructura de TI de la organización y, por último, llevar a cabo sesiones periódicas de formación en materia de seguridad para el personal.