Xenomorph se ha convertido desde hace unos pocos años en uno de los malwares más peligrosos y temidos por diferentes entidades, en especial por las grandes corporaciones y los bancos. Este software malicioso, cuyo nombre proviene de la criatura ficticia en la película “Alien”, la actuación con este troyano fue reportada por primera vez en España en el año 2021 y, desde entonces, ha sido utilizado por los cibercriminales para el ataque de un total de 56 bancos.
“La información que se almacena en la red de este tipo de organismo puede ser de gran valor para ciberdelincuentes y organizaciones malintencionadas”, señala asegura Hervé Lambert, Global Consumer Operations Manager de Panda Security; “la seguridad digital, por este y otros motivos, debe convertirse en prioridad si una organización no quiere exponerse a la filtración de datos de propiedad intelectual y confidenciales, inclusive de sus propios empleados y directores”.
¿Cómo actúa Xenomorph?
El malware Xenomorph es un software malicioso que se ha utilizado para ataques cibernéticos altamente sofisticados. Tiene la capacidad de ocultarse en las redes de una empresa y evitar la detección de los sistemas de seguridad informática. De hecho, su detección es muy difícil debido a la complejidad y sofisticación de su diseño.
La forma en que Xenomorph funciona es mediante la infiltración en la red de una empresa u organización, donde luego busca robar información confidencial. Puede llevar a cabo diversos tipos de ataques, incluyendo:
-
- El robo de credenciales de inicio de sesión.
- La exfiltración de datos.
- La ejecución de código malicioso.
- La instalación de backdoors para futuros ataques.
Una vez instalado, se comunica con su servidor de comando y control (C&C) y recopila información valiosa sobre la red infectada. Esta información se utiliza para realizar más ataques o venderla en el mercado negro.
Tiene la capacidad de ocultarse en las redes de una empresa y evitar la detección de los sistemas de seguridad informática. De hecho, su detección es muy difícil debido a la complejidad y sofisticación de su diseño.
Para introducir este troyano, los hackers utilizan el método tradicional de introducirlo en apps o programas comunes donde pase desapercibido. En uno de sus últimos ciberataques, la plataforma que sirvió de cebo fue Google Play Store, cuando se integró Xenomorph en la app Fast Cleaner, consiguiendo pasar desapercibido y burlar los controles de seguridad de la propia plataforma de Android. “Una vez dentro, no hay vuelta atrás”, explica el ciberexperto, “tiene acceso a todas las credenciales que verifiques con tu móvil, apps bancarias, de salud, billeteras de criptomonedas, perfiles de RRSS y un largo etc.”.
Otros ciberasaltos provocados por Xenomorph
Se desconoce la identidad del grupo de hackers que está detrás del desarrollo de este malware. Sus ataques se han dirigido a diferentes verticales empresariales, desde acciones contra organizaciones gubernamentales y militares hasta financieras y de salud en todo el mundo. Entre ellas, la aerolínea sudafricana South African Airways vio comprometidos los datos personales de millones de pasajeros. Por otro lado, una empresa petrolera de Oriente Medio, sufrió un ataque de ransomware donde se cifraron los datos de la empresa a cambio de un rescate. “Se desconoce el número total de ataques constituidos por este malware, por lo tanto, desconocemos su verdadero alcance y el potencial daño que podría causar en el futuro si no contamos con herramientas de prevención en ciberseguridad”, afirma Lambert.
A través de phishing
En enero de 2019, una compañía de servicios financieros en América Latina y, en julio de 2021 una empresa de servicios de seguridad cibernética con sede en Israel fueron atacadas por este malware, introducido a través del correo electrónico, con el objetivo de robar información financiera de ambas empresas y de sus clientes. “El modus operandi siempre suele ser el mismo: el correo fraudulento suele contener un archivo adjunto infectado por este malware, al descargarlo y abrirlo se instala automáticamente en el dispositivo del usuario”, confirma Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Descargas de software
Como ocurrió en el caso de Google Play Store, los cibercriminales integran este software en diferentes programas y apps confiables y con buena reputación digital para pasar desapercibidos. “Aunque este tipo de ciberataque no pueda controlarlo el consumidor final, este sí que puede tomar medidas preventivas como nunca descargar apps de sitios webs o plataformas oficiales o, inclusive, contar con un antivirus para el móvil, en especial si es el que utiliza para temas laborales”, explica Lambert.
Sitios web maliciosos
Los hackers diseñan sitios web falsos que contienen scripts maliciosos que descargan e instalan el malware Xenomorph en el dispositivo del usuario.
Dispositivos USB infectados
Es una práctica menos común, pero puede llegar a introducirse en cualquier dispositivo a través de un primer dispositivo USB infectado con el malware Xenomorph. Bastará con ir conectándose a otro dispositivo para su instalación en el sistema.
Vulnerabilidades del sistema
Los hackers siempre están atentos de cómo aprovechar cualquier vulnerabilidad o brecha del sistema para colarse y llevar a cabo sus delitos. “Por ello, es clave que las empresas cuenten con protocolos de prevención, actuación y seguimiento de acciones en seguridad digital”, concluye el ciberexperto.
“Una de las mejores recomendaciones para evitar que este tipo de malwares y similares acaban por instalarse en nuestros equipos es tener continuamente actualizados los softwares del equipo y de los demás sistemas operativos de las apps que tengamos. Aparte, sería adecuado instalar y utilizar un software de seguridad, como un antivirus o un firewall, que pueda detectar y bloquear este y otros tipos de ciberamenazas”, concluye Hervé Lambert, Global Consumer Operations Manager de Panda Security,