Malware robo datos

Malware de robo de datos del grupo de ciberespionaje Ke3chang: 2015-2019

Última Actualización

Una gran y reciente operación de piratería consiste en el uso de malware de robo de datos no identificado dirigido a diplomáticos y departamentos gubernamentales de todo el mundo.


Grupo Ke3chang y los malware de robo de datos

La autoría ha sido atribuida al grupo Ke3chang que ha llevado a cabo campañas de ciberespionaje utilizando troyanos de acceso remoto y otros programas maliciosos. Ke3chang es también conocido como APT15. Se supone opera desde China y sus ataques se han dirigido a varias industrias incluyendo petróleo, gobierno y militares.

Las actividades del grupo han sido registradas desde el año 2010 (reporte de FireEye del 2013 sobre operación Ke3chang) durante una campaña de ciberespionaje dirigida a organizaciones diplomáticas en Europa.


ESET vs Ke3chang

ESET, compañía que ha estado rastreando las actividades maliciosas de Ke3chang detectó en el año 2015 actividades sospechosas en países de Europa. El grupo detrás de los ataques parecía tener un interés particular en Eslovaquia, donde se encontraban una gran parte de las muestras de malware descubiertas; Croacia, la República Checa y otros países también se vieron afectados. Las técnicas de análisis utilizadas por ESET sobre el malware (nombrado Ketrican) mostraron vinculos estrechos con las puertas traseras BS2005 de la operación Ke3chang y con una familia de malware descubierta por Palo Alto Networks en el año 2016 que se dirigió a embajadas de la India en todo el mundo.

En el año 2016, ESET descubrió una familia de malware no identificados vinculada al grupo; una puerta trasera que ESET nombró Okrum. Este malware fue dirigido a misiones diplomáticas en Eslovaquia, Bélgica, Chile, Guatemala y Brasil a lo largo del 2017. Desde el 2015 hasta la actualidad, ESET ha detectado nuevas versiones del malware atribuídas el mismo grupo.

Malware Robo Datos
Cronología de la investigación. [Imagen tomada de: welivesecurity.com by ESET]

¿Cómo funcionan Okrum?

El código maligno de Okrum está oculto en un archivo PNG (Portable Network Graphics) funcional. Es decir, se observa una imagen cuando se carga el archivo utilizando un visor de imágenes. Sin embargo, en la imagen está «situado» un archivo encriptado extra que el usuario no puede ver. Esta técnica, conocida como esteganografía es un intento de los desarrolladores del malware para evadir los sistemas de detección.

El método de Okrum para confirmar que se está ejecutando en una computadora real es bastante interesante. La puerta trasera activa la ruta para recibir el «código maligno real» luego de que el botón izquierdo del ratón sea cliqueado al menos tres veces. Los investigadores creen que esta prueba de confirmación se realiza principalmente para garantizar que la puerta trasera esté operando en máquinas reales y funcionales, y no en máquinas virtuales.

En cuanto a la funcionalidad, Okrum solo está equipado con los comandos básicos para una puerta trasera, como descargar/cargar archivos y ejecutar archivos y comandos de shell. La mayor parte de la actividad maliciosa se debe realizar escribiendo comandos de shell manualmente o ejecutando otras herramientas y software. Esta es una práctica común del grupo Ke3chang señalada anteriormente en los informes de Intezer y NCC Group que monitorean la actividad del grupo Ke3chang.

ESET ha detectado que Okrum utiliza varias herramientas externas, como un registrador de pulsaciones del teclado *(lo que le permite apropiarse de credenciales). Las puertas traseras de Ketrican detectadas desde 2015 hasta 2019 usaban utilidades similares.

El grupo continúa activo en 2019. En marzo de 2019, ESET detectó una nueva muestra de Ketrican (que ha evolucionado desde la puerta trasera de Ketrican 2018) y ha atacado los mismos objetivos que la puerta trasera del 2018.

*Imagen destacada tomada de Palo Alto Networks Blog.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *