El mundo está viviendo una situación excepcional, debida a la actual pandemia del coronavirus Covid-19. Para intentar frenar el contagio del virus, un gran número de empresas en todo el mundo ha impuesto el teletrabajo. Una circunstancia que ha aumentado de manera significativa la superficie de ataque, suponiendo un gran desafío en ciberseguridad para las empresas, que cuentan con protocolos y  una  serie de medidas a seguir para garantizar el correcto funcionamiento de su negocio y sus sistemas informáticos.

Sin embargo, el aumento de la superficie de ataque no es el único ciberriesgo que ha surgido en las últimas horas; muchos cibercriminales están aprovechando de manera activa la incertidumbre mundial para llevar a cabo campañas de phishing, propagar  malware y para poner en peligro la ciberseguridad de muchas empresas.

Una APT se aprovecha de la pandemia

A finales de la semana pasada, se descubrió que un grupo APT llamado “Vicious Panda” lleva a cabo una campaña de spear phishing que utiliza la pandemia para propagar el malware del grupo. Los emails dicen contener información acerca del coronavirus, pero en realidad contienen dos archivos RTF (Rich Text Format) maliciosos. Si la víctima abre estos archivos, se lanza un RAT (Remote Access Trojan) que es capaz de hacer capturas de pantalla, elaborar listas de archivos y directorios en el equipo de la víctima, así como descargar archivos; entre otras capacidades.

De momento, la campaña se ha visto atacando al sector público de Mongolia, y parece ser el último ataque en una continuada operación china contra varios gobiernos y organizaciones en todo el mundo. Esta vez, la particularidad reside en que se utiliza la novedosa situación mundial para intentar activar la infección de sus víctimas.

El email intenta hacerse pasar por uno del Ministerio de Exteriores de Mongolia que contiene información acerca de la situación del número de infectados por el virus. Para convertir este archivo en una ciberarma, los atacantes utilizaron RoyalRoad, una herramienta popular entre los actores de amenaza chinos, que les permite  crear documentos personalizados con objetos incrustados, que pueden explotar vulnerabilidades en Equation Editor, la herramienta utilizada para crear ecuaciones complejas en Word.

Técnicas para ganar persistencia

Una vez que la víctima abre el archivo RTF malicioso, se explota una vulnerabilidad en Microsoft Word para descargar un archivo malicioso (intel.wll) en la carpeta de inicio de Word (%APPDATA%\Microsoft\Word\STARTUP). Con esto, no solo ganan persistencia, sino que también evita que toda la cadena de infección se detone si se ejecuta dentro de un sandbox, ya que hay que reiniciar Word para ejecutar el malware completamente.

Posteriormente, el archivo intel.wll baja un archivo DLL, que sirve para descargar el malware y para comunicarse con el servidor C2 del ciberatacante. El black hat solo opera el servidor C2 durante un periodo limitado cada día, algo que dificulta la tarea de analizar y acceder a las partes más avanzadas de la cadena de infección.

A pesar de esto, los investigadores han podido ver que la primera etapa de esta cadena descarga y descifra el RAT una vez que recibe la comanda, y también descarga el archivo DLL, lo cual se carga en la memoria. La arquitectura de este malware, que tiene parecidos con un plugin, sugiere que existen otros módulos, además del payload que se ha visto en esta campaña.

Medidas de protección contra la nueva APT

Esta campaña de malware tiene muchos trucos para llegar a los sistemas de sus víctimas y para poner en peligro su ciberseguridad una vez que ha conseguido entrar. Para proteger contra campañas de este tipo, hay que seguir una serie de medidas.

La primera es de suma importancia: hay que tener mucho cuidado a la hora de recibir correos electrónicos. El email es uno de los principales vectores de ataque y es uno del que ninguna empresa puede prescindir. Si recibes un email de un desconocido, no lo abras y sobre todo no abras ningún archivo adjunto y no hagas clic en ningún enlace.

Este ataque utiliza una vulnerabilidad en Word para poner en peligro la ciberseguridad de sus víctimas. De hecho, las vulnerabilidades sin parchear son la causa de muchos ciberataques, y también causan gran cantidad de brechas de datos, entre otros problemas de seguridad. Por este motivo, es imprescindible poder aplicar el parche relevante cuanto antes.

Para remediar estos problemas, Panda Security dispone de una solución diseñada específicamente para ayudar en la identificación, gestión e instalación de los parches. Panda Patch Management busca automáticamente los parches necesarios para que los equipos de tu empresa estén protegidos, prioriza las actualizaciones más urgentes, y planifica su instalación. Se notifican los parches pendientes incluso en detecciones de exploits y programas maliciosos.

Panda Patch Management lanza inmediatamente la instalación de estos parches y actualizaciones, o pueden ser programadas desde la consola, aislando el equipo si fuera necesario. De esta manera, podrás gestionar los parches y actualizaciones para asegurar el buen funcionamiento de tu empresa. Y completarás tu sistema de protección para blindar tus activos. Conoce más sobre Panda Patch Management aquí.

Desafortunadamente, este ciberataque no será el último que se aprovecha de la actual situación mundial para poner en peligro la ciberseguridad de las organizaciones. Protege a tu organización extremando precauciones y utilizando soluciones de ciberseguridad avanzadas como las de Panda Security.