Una campaña de ciberespionaje apunta al gobierno ucraniano con un malware personalizado que crea una puerta trasera en los sistemas para robar datos, incluidas las credenciales de inicio de sesión y las grabaciones de audio de los alrededores.

La campaña ha sido detallada por investigadores de la compañía de seguridad ESET, la cual afirma que ha estado activa desde al menos octubre de 2015.

En qué consiste el malware

Además de llevar a cabo las tareas habituales asociadas con los troyanos, como supervisar lo que sucede en la pantalla, descargar cargas adicionales y cargar archivos, también contiene un conjunto de comandos adicionales con el fin de comprometer completamente la máquina de la víctima.

Vermin, identificada por primera vez por Palo Alto Networks en enero y actualizada, también tiene la capacidad de robar archivos de una unidad USB. El malware controlará la unidad y robará los archivos que coincidan con el filtro elegido de los atacantes, que, en su mayoría, aparece en los documentos.

Este ladrón de archivos USB se ha utilizado cada vez más como una herramienta independiente desde abril. Según investigadores de ESET, copia los archivos relevantes y los carga inmediatamente en el servidor de comando y control de los atacantes.

Además de Vermin, estos piratas también emplean troyanos Quasar y Sobaken. Quasar por ejemplo, es una forma de código abierto de malware equipada con una gama de comandos de puerta trasera para observar y robar desde un sistema infectado.

Sobaken es una versión modificada de Quasar a la que se le han eliminado varias capacidades. Sin embargo, debido a que esto significa que está empaquetado en un ejecutable más pequeño, es más fácil de ocultar: Sobaken también ha sido equipado con técnicas anti-sandboxing y evasión para ayudar a reducir las posibilidades de descubrimiento.

“Una posible explicación para usar tres cepas paralelas de malware es que cada cepa se desarrolla de forma independiente. Otra opción es probar diferentes cepas de malware con la esperanza de que una de ellas se salga de las defensas”, dijo Kaspars Osis, investigador senior de malware de ESET.

Actualmente, no hay una clara atribución sobre quién podría estar detrás de los ataques, pero Ucrania ha estado en el punto de mira de los hackers rusos.

Los procesos de auto-terminación en el malware también indican que los que están detrás de él no quieren que se escape al resto del mundo, al menos no todavía.

Andrea Benito, CSO EE.UU. / IDG.es