DeathStalker, un grupo de APT que espía a pymes del sector financiero
- Actualidad
Utiliza emails de spear-phishing personalizados para entregar archivos maliciosos. Cuando el usuario hace clic en el acceso directo, se ejecuta un script malicioso y descarga más componentes que controlan la máquina de la víctima. Diversas compañías europeas están entre sus víctimas.
Los investigadores de Kaspersky han analizado la actividad de DeathStalker, un grupo mercenario de amenazas persistentes avanzadas (APT) que ha estado realizando ataques de espionaje contra pequeñas y medianas empresas en el sector financiero desde al menos 2012. Los descubrimientos más recientes demuestran que el grupo ha se ha dirigido a empresas de todo el mundo, desde Europa hasta América Latina.
DeathStalker es un grupo de amenazas único que se centra principalmente en el ciberespionaje contra firmas de abogados y organizaciones del sector financiero. El actor de amenazas es altamente adaptable y es conocido por usar un enfoque iterativo y rápido para el diseño de software, lo que les permite ejecutar campañas efectivas. Una investigación reciente permitió a Kaspersky vincular la actividad de DeathStalker con tres familias de malware: Powersing, Evilnum y Janicab, lo que demuestra la amplitud de la actividad.
Las tácticas, técnicas y procedimientos del actor de APT se han mantenido sin cambios a lo largo de los años, confiando en correos electrónicos personalizados de spear-phishing para entregar archivos maliciosos. Cuando el usuario hace clic en el acceso directo, se ejecuta un script malicioso y descarga más componentes de Internet. Esto permite a los atacantes controlar la máquina de la víctima.
Se ha detectado actividad de DeathStalker en todo el mundo, indicativo del tamaño de sus operaciones. Se identificaron actividades relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, Reino Unido y Emiratos Árabes Unidos. Kaspersky también localizó a las víctimas de Evilnum en Chipre, India, Líbano, Rusia y los Emiratos Árabes Unidos.
"DeathStalker es un excelente ejemplo de un actor de amenazas del que las organizaciones del sector privado deben defenderse", comenta Ivan Kwiatkowski, investigador de seguridad senior en GReAT de Kaspersky. “Si bien a menudo nos enfocamos en las actividades que llevan a cabo los grupos de APT, DeathStalker nos recuerda que las organizaciones que tradicionalmente no son las más conscientes de la seguridad también pueden convertirse en objetivos. Además, a juzgar por su actividad continua, esperamos que DeathStalker continúe siendo una amenaza con nuevas herramientas empleadas para impactar en las organizaciones”.