Cada noticia que llega a nosotros sobre la situación de Siria, bien sea a través de la televisión, el correo electrónico o las redes sociales, nos conmueve de sobremanera. Pensamos lo peor del ser humano cuando vemos las ciudades sirias destruidas y una ola de muerte que parece no tener fin; y consideramos que abunda la falta de amor y también la falta de sentido común.
Y es que de la ausencia de sentido común es de lo que se están valiendo los cibercriminales hoy en día para cometer sus fechorías. De esto y de nuestra conmoción frente a la guerra en Siria. La compañía de seguridad Eset realizó una investigación que devela una nueva acción del grupo Sednit, también conocido como APT28, Fancy Bear o Sofacy. Este es un equipo de atacantes que opera desde el 2004 y cuyo fin principal es robar información confidencial de objetivos específicos.
El mes pasado, Sednit volvió a mostrar actividad, aparentemente para interferir en las elecciones francesas y atacar al candidato centrista Emmanuel Macron. En este mismo período, a los investigadores de Eset les llamó la atención un correo electrónico de phishing que contenía un archivo adjunto llamado ‘Trump’s Attack on Syria English.docx’ (o ‘Ataque de Trump a Siria’). Al analizar el documento, se reveló que su objetivo real era descargar el archivo ‘Seduploader’, una herramienta empleada por Sednit para detectar sus objetivos a atacar.
¿Cómo opera el archivo ‘Seduploader’?
Para lograr su propósito, el grupo Sednit utilizó dos exploits. Un exploit es un fragmento de código que permite a un atacante aprovechar una falla en el sistema para ganar control sobre el mismo. El primero aprovechaba una vulnerabilidad de ejecución remota de código en Microsoft Word y el segundo les permitía escalar privilegios de usuarios locales en Windows. Eset informó sobre ambas vulnerabilidades a Microsoft, que ya lanzó parches como parte de su programa habitual de revisiones.
Este ataque informático se propagaba mediante un correo electrónico de phishing (el phishing busca adquirir fraudulentamente información personal o confidencial de la víctima, haciéndose pasar por una persona o una empresa de confianza), y usaba la temática del ataque de Trump a Siria como anzuelo. El archivo adjunto infectado es un documento señuelo que contiene una copia literal de un artículo titulado ‘Trump’s Attack on Syria: Wrong for so Many Reasons’ (Ataque de Trump a Siria: un error por muchísimas razones), publicado el 12 de abril de 2017 en The California Courier. Este documento es el que contenía los dos exploits que permiten la instalación de Seduploader.
Eset recomienda…
Para los expertos de Eset, «esta campaña nos muestra que el grupo Sednit no ha cesado sus actividades. Siguen manteniendo sus viejos hábitos: utilizan métodos de ataque conocidos y reutilizan código de otras campañas maliciosas o de sitios web públicos. Como cuestión adicional, en esta campaña los atacatantes cometieron errores tipográficos en la configuración de Seduploader (shel en vez de shell)». Por su parte, Camilo Gutiérrez, jefe del laboratorio de investigación de Eset Latinoamérica, añadió que desde los distintos laboratorios de investigación de Eset están siempre atentos a encontrar e investigar cualquier movimiento extraño, con el fin de advertir a los usuarios.
En octubre de 2016, Eset publicó una investigación titulada ‘En Route with Sednit’, en la cual analiza detalladamente las tácticas empleadas por esta organización y su arsenal. Además, desarrolló un video que describe el modo en el que operan llamado ‘Sednit: conoce cómo opera este grupo de espionaje’. Les compartimos el video:
Imagen: Pexels.
