La firma de ciberseguridad ESET, la más grande que existe actualmente en toda la Unión Europea, ha descubierto que el grupo de cibercriminales Gamaredon, activo desde 2013, ha empezado a utilizar nuevas herramientas para lanzar ataques en sus últimas campañas, y no ha dudado en dar la voz de alarma.
Entre las herramientas descubiertas se encuentra una que ha sido diseñada para lanzar ataques contra Microsoft Outlook, y que utiliza un proyecto Visual Basic para aplicaciones (VBA) personalizado. Este tipo de malware permite al atacante utilizar la cuenta de correo de la víctima para enviar correos fraudulentos dirigidos a contactos de la agenda.
Otra herramienta descubierta por ESET se utiliza para inyectar macros y referencias en plantillas remotas de documentos de Office (tanto Word como Excel). El uso de macros de Outlook para distribuir malware es algo muy poco común en la actualidad, lo que hace que represente un peligro todavía mayor. ESET detecta las diferentes variantes de malware usadas en estas campañas por Gamaredon como MSIL/Pterodo, Win32/Pterodo o Win64/Pterodo.
Las últimas herramientas de Gamaredon inyectan macros o referencias a plantillas remotas en los documentos existentes en el sistema atacado, una técnica que representa una forma muy efectiva de introducirse en la red de una organización, puesto que los documentos suelen ser compartidos de forma rutinaria por diferentes compañeros de trabajo en ciclos relativamente cortos, lo que acelera su distribución. A esto debemos añadir, además, que gracias a una función especial que falsifica la configuración de seguridad de las macros de Microsoft Office, el usuario afectado no sabe que está comprometiendo su dispositivo cada vez que abre los documentos.
Este grupo utiliza puertas traseras y recurre al robo de archivos para identificar y recopilar documentos sensibles del sistema, o de los sistemas, que se han visto comprometidos, y los carga luego en un servidor de mando y control. Los atacantes también adquieren la capacidad de ejecutar código de forma arbitraria desde el servidor de mando y control.
Una de las diferencias más importantes entre este y otros grupos APT es que los atacantes de Gamaredon no han hecho grandes esfuerzos para permanecer ocultos, es decir, no han tenido cuidado para evitar una exposición temprana y directa. A pesar de que sus herramientas cuentan con la capacidad de utilizar técnicas para pasar desapercibidos, parece que uno de los objetivos del grupo es distribuir su malware de la forma más rápida y extensa posible para extraer datos de las redes atacadas, aunque ello les obligara a ser poco discretos.
Jean-Ian Boutin, responsable de investigaciones de amenazas en ESET, ha comentado:
«En los últimos meses ha habido un incremento en la actividad de este grupo, con oleadas constantes de correos maliciosos que llegaban a los buzones de las víctimas. Los documentos adjuntos a estos mails incluyen macros maliciosas que, cuando se ejecutan, intentan descargar una gran variedad de tipos diferentes de malware».
