El malware sigiloso muestra por qué no debe abrir correos electrónicos desconocidos

julio 9, 2022 Aranzulla de Los Pobres

Recientemente se descubrió un nuevo tipo de malware que logró pasar 56 productos antivirus separados antes de ser finalmente atrapado.

El malware, cuando se ejecuta, puede causar daños graves a su dispositivo, y parece estar tan bien hecho que podría ser producto de actores del estado-nación. Abrir un archivo adjunto de correo electrónico es todo lo que se necesita para otorgarle suficiente entrada para causar estragos.

Manos en una computadora portátil. — EThamPhoto / Getty Images

Unit 42, un equipo de inteligencia de amenazas de Palo Alto, acaba de publicar un informe sobre una pieza de malware que logró evitar la detección de 56 productos antivirus masivos. Según el equipo, la forma en que se creó, empaquetó e implementó el malware es muy similar a varias técnicas utilizadas por el grupo de amenazas APT29, también conocido con los nombres de Iron Ritual y Cozy Bear. Este grupo ha sido atribuido al Servicio de Inteligencia Exterior (SVR) de Rusia, lo que indica que el malware en cuestión podría ser un asunto de un estado-nación.

Según Unit 42, el malware se detectó por primera vez en mayo de 2022 y se encontró oculto dentro de un tipo de archivo bastante extraño: ISO, que es un archivo de imagen de disco que se usa para transportar todo el contenido de un disco óptico. El archivo viene con una carga útil maliciosa que Unit 42 cree que se creó con una herramienta llamada Brute Ratel (BRC4). BRC4 se enorgullece de ser difícil de detectar, citando el hecho de que los autores de la herramienta realizaron ingeniería inversa del software antivirus para hacer que la herramienta fuera aún más sigilosa. Brute Ratel es particularmente popular con APT29, lo que agrega más peso a la afirmación de que este malware podría estar relacionado con el grupo Cozy Bear con sede en Rusia.

El archivo ISO pretende ser el currículum vitae (currículum vitae) de alguien llamado Roshan Bandara. Al llegar al buzón de correo electrónico del destinatario, no hace nada, pero cuando se hace clic, se monta como una unidad de Windows y muestra un archivo llamado "Roshan-Bandara_CV_Dialog". En ese punto, es fácil dejarse engañar: el archivo parece ser un archivo típico de Microsoft Word, pero si hace clic en él, ejecuta cmd.exe y procede a instalar BRC4.

Una vez hecho esto, le pueden pasar muchas cosas a su PC; todo depende de las intenciones del atacante.

Unit 42 señala que encontrar este malware es preocupante por varias razones. Por un lado, existe una alta probabilidad de que esté vinculado a APT29. Aparte de los motivos enumerados anteriormente, el archivo ISO se creó el mismo día en que se hizo pública una nueva versión de BRC4. Esto sugiere que los actores de ataques cibernéticos respaldados por el estado podrían estar sincronizando sus ataques para implementarlos en los momentos más oportunos. APT29 también ha utilizado ISO maliciosos en el pasado, por lo que todo parece encajar.

La casi indetectabilidad es preocupante en sí misma. Para que el malware sea tan sigiloso requiere mucho trabajo, y sugiere que tales ataques podrían representar una amenaza real cuando los utiliza el equipo de personas equivocado.

¿Cómo puedes mantenerte a salvo?

Una cerradura de seguridad digital. — zf L / Getty Images

En medio de informes frecuentes de que los ataques cibernéticos han tenido un aumento masivo en los últimos años, uno puede esperar que muchos usuarios ahora sean más conscientes de los peligros de confiar demasiado en personas aleatorias y sus archivos. Sin embargo, a veces estos ataques provienen de fuentes inesperadas y en varias formas. Los enormes ataques distribuidos de denegación de servicio (DDoS) ocurren todo el tiempo, pero estos son más un problema para los usuarios empresariales. A veces, el software que conocemos y en el que confiamos puede usarse como señuelo para engañarnos y hacernos confiar en la descarga. ¿Cómo mantenerse a salvo cuando el peligro parece estar al acecho en cada esquina?

En primer lugar, es importante darse cuenta de que muchos de estos ataques cibernéticos a gran escala se dirigen a organizaciones objetivo; es poco probable que los individuos sean el objetivo. Sin embargo, en este caso particular en el que el malware está oculto dentro de un archivo ISO que se hace pasar por un currículum, es plausible que lo puedan abrir personas en varios entornos de recursos humanos, incluidos los de organizaciones más pequeñas. Las empresas más grandes a menudo tienen departamentos de TI más sólidos que no permitirían la apertura de un archivo ISO inesperado, pero nunca se sabe cuándo algo podría pasar desapercibido.

Con lo anterior en mente, nunca es una mala idea seguir una regla muy simple que muchos de nosotros aún olvidamos a veces: nunca abra archivos adjuntos de destinatarios desconocidos. Esto puede ser difícil para un departamento de recursos humanos que recopila currículos activamente, pero usted, como individuo, puede implementar esa regla en su vida diaria y no perderse nada. Tampoco es una mala idea elegir una de las mejores opciones de software antivirus disponibles. Sin embargo, se puede obtener la mayor seguridad simplemente navegando con atención y no visitando sitios web que pueden no parecer demasiado legítimos, además de ser cauteloso con sus correos electrónicos.