Una puerta trasera de Windows es usada como nueva arma de ciberespionaje
- Endpoint
Una vez instalado el backdoor es posible recopilar toda la información deseada, así como realizar capturas de pantalla y ejecutar malware. Esta amenaza, hasta ahora desconocida, ha sido utilizada por un grupo chino en una campaña lanzada contra su Ministerio de Asuntos Exteriores.
Recomendados: Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer |
Check Point Research ha identificado y bloqueado una operación de vigilancia activa dirigida contra un gobierno del sudeste asiático. Los ciberdelincuentes, que los investigadores relaciona con un grupo organizado chino, enviaron sistemáticamente documentos manipulados, a varios miembros del Ministerio de Asuntos Exteriores del mismo, haciéndose pasar por otras entidades del mismo gobierno.
Los investigadores sospechan que el objetivo de la operación es el espionaje mediante la instalación de una puerta trasera de Windows, hasta ahora desconocida, conocida como "VictoryDll_x86.dll", y que ha estado en desarrollo al menos tres años. Una vez instalado el backdoor es posible recopilar toda la información deseada, así como realizar capturas de pantalla y ejecutar malware adicional.
La campaña comenzó con el envío de documentos maliciosos (.docx) a diferentes empleados de una entidad gubernamental del sudeste asiático. Los archivos adjuntos de estos emails eran copias manipuladas de escritos oficiales de aspecto legítimo y utilizaban plantillas en remoto para incrustar código malicioso. Esta técnica aprovecha una característica de Microsoft que permite extraer una plantilla desde un servidor remoto cada vez que el usuario abre el mismo. Al abrirlo, la víctima ejecuta una cadena de acciones que acaba por activar una puerta trasera, que recaba toda la información que los ciberdelincuentes desean, incluida la lista de archivos y programas activos en el PC, lo que les permite el acceso remoto.
De acuerdo con Check Point Research, esta puerta trasera se formó y readaptó una y otra vez durante tres años, antes de utilizarse. Gracias a ello, es mucho más intrusiva y capaz de recopilar una gran cantidad de datos de un ordenador infectado. Asimismo, los investigadores se enteraron de que este grupo no sólo se interesa por los datos, sino también por lo que ocurre en el equipo personal del objetivo en cada momento, lo que da lugar a un espionaje en tiempo real. Aunque se pudo bloquear la operación de vigilancia del gobierno del sudeste asiático descrita, es posible que actualmente estos ciberdelincuentes estén utilizando su nueva arma de ciberespionaje en otros blancos del mundo.