Los cibercriminales tienen una gran variedad de técnicas para entrar en los sistemas informáticos de sus víctimas: las vulnerabilidades, las redes sociales e incluso el correo postal. El método más popular, sin embargo, es el email: según fuentes del sector, el 91% del cibercrimen empieza con un email de phishing.
Quasar: la nueva versión de una táctica popular
A finales de agosto, investigadores de seguridad descubrieron una nueva campaña de phishing que utiliza un método particularmente tramposo para introducir malware en el sistema de una empresa: lo esconde dentro de un currículum que se envía como archivo adjunto, supuestamente de alguien que busca trabajo en la organización.
Las plataformas digitales y los formatos electrónicos arrojan luces y sombras para el departamento de Recursos Humanos. Por un lado, facilitan el proceso de selección; sin embargo, también tienen sus puntos débiles y la seguridad informática está entre ellos. Los cibercriminales aprovechan que las empresas reciben decenas de documentos en sus procesos de selección para enviarles alguna que otra sorpresa en forma de malware.
En el caso analizado, el malware que entrega se llama Quasar, un troyano de acceso remoto (RAT) que es popular entre los APT, lo cual indica que se trata de unos cibercriminales profesionales que buscan utilizar la herramienta para explotar las redes de sus víctimas, robar sus datos, o incluso secuestrar los sistemas con el ransomware.
Una campaña engañosamente sencilla
A primera vista, la campaña parece relativamente sencilla—un documento Word malicioso adjunto en un email—pero una investigación más en detalle revela que el atacante sabe exactamente lo que hace. Para empezar, el uso de una herramienta que es fácilmente accesible (está disponible en GitHub) dificulta la atribución de esta campaña a un grupo en particular.
El documento Word también contiene varias medidas para evitar la detección: está protegido con una contraseña e incluye macros. La contraseña que utiliza—123—no es muy innovadora, pero para sistemas automatizados que analizan los archivos adjuntos y los emails por separado, significa que el documento se abrirá sin que se detecte ninguna actividad maliciosa, porque el sistema no determinará la necesidad de una contraseña para su acceso completo a la información.
Si un analista o sistema automatizado intentara analizar los macros con herramientas de análisis, es probable que falle el script por utilizar demasiada memoria, ya que contiene más de 1.200 líneas de código basura. Esto hace muy difícil que se descubra la URL del payload final.
Una última medida para evitar ser detectado es la descarga de un ejecutable autoextraíble de Microsoft, que descomprime un binario del Quasar RAT de 401MB. Con este archivo artificialmente pesado, imposibilita que el RAT se pueda compartir en VirusTotal, una web que proporciona análisis de ciberamenazas. Como consecuencia, es muy difícil que esta amenaza se analice.
¿Hay alguna manera de evitar esta amenaza?
Aunque pueda parecer que una amenaza de este tipo es imparable, hay maneras de evitarla. Lo primero que hay que hacer es llevar a cabo campañas de concienciación orientadas al eslabón más débil de la cadena de ciberseguridad en una empresa: los empleados, independientemente del departamento al que se pertenezca.
Es imprescindible que sepan reconocer los emails sospechosos, por muy auténticos que parezcan; que sepan que nunca tienen que abrir un archivo adjunto de un remitente desconocido; y que, ante cualquier duda, tienen que contactar con el departamento de informática para preguntar los siguientes pasos.
Otro paso vital es contar con soluciones de ciberseguridad avanzada. Panda Adaptive Defense cuenta con tecnología anti-exploit que es capaz de detectar los scripts y las macros maliciosas. Es más, analiza de manera continua toda la actividad del sistema y todas las aplicaciones activas. De este modo, si detecta cualquier actividad sospechosa o fuera de lo normal, puede detener el proceso y así evitar que la ciberamenaza cause daños en la organización.
Los esfuerzos de los cibercriminales para llegar a las organizaciones y sortear las medidas de protección no dejarán de evolucionar y volverse más sofisticados. Por eso, es esencial que vigiles el correo electrónico, una de las puertas de entrada más populares entre los ciberdelincuentes y que te mantengas al día de las nuevas tendencias en ciberseguridad.