WinDealer: el malware que realiza ataques de espionaje altamente peligrosos

WinDealer: el malware que realiza ataques de espionaje altamente peligrosos - Vida Digital con Alex Neuman

Organizaciones diplomáticas extranjeras, miembros de la comunidad académica, así como empresas de defensa, logística y telecomunicaciones, los objetivos principales.

Los analistas de Kaspersky han descubierto que el malware WinDealer, difundido por el grupo de ciberdelincuentes de habla china LouYu, tiene la habilidad de introducirse a través de un ataque man-on-the-side. Este innovador desarrollo permite modificar el tráfico de red en tránsito para insertar cargas útiles maliciosas. Estos ataques son especialmente peligrosos y nocivos porque no requieren de ninguna interacción con el objetivo para que la infección tenga éxito.

Tras los hallazgos de TeamT5, los analistas de Kaspersky descubrieron un nuevo método para propagar el malware WinDealer. En concreto, utilizaron un ataque man-on-the-side para leer el tráfico e insertar nuevos mensajes. El concepto general de un ataque man-on-the-side es que, cuando el atacante ve una solicitud de un recurso específico en la red (a través de sus capacidades de interceptación o de su posición estratégica en la red del ISP), intenta responder a la víctima más rápido que el servidor legítimo. Si el ciberatacante gana la «carrera», el dispositivo objetivo utilizará entonces esos datos suministrados en lugar de los datos normales. Si los ciberdelincuentes no ganan esas «carreras», pueden volver a intentarlo hasta que lo consigan, de modo que terminan por infectar la mayoría de los dispositivos.

Tras el ataque, el dispositivo objetivo recibe una aplicación de software espía que puede recopilar gran cantidad de información. Los atacantes pueden ver y descargar cualquier archivo almacenado en el dispositivo y ejecutar una búsqueda por palabras clave en todos los documentos. Por lo general, el objetivo de LuoYu son organizaciones diplomáticas extranjeras establecidas en China y miembros de la comunidad académica, así como empresas de defensa, logística y telecomunicaciones. Utilizan WinDealer para atacar dispositivos Windows.

Normalmente, el malware contiene un servidor C&C codificado desde el que el operador malicioso controla todo el sistema. Con información sobre este servidor, es posible bloquear la dirección IP de los dispositivos con los que interactúa el malware, neutralizando la amenaza. Sin embargo, WinDealer se basa en un complejo algoritmo de generación de IP para determinar con qué equipo contactar. Incluye un rango de 48,000 direcciones IP, lo que hace casi imposible que el operador controle siquiera una pequeña parte de las direcciones. La única manera de explicar este comportamiento aparentemente imposible de la red es que los atacantes tienen importantes habilidades de interceptación en este rango de IP y pueden, incluso, leer paquetes de red que no llegan a ningún destino.

El ataque «man-on-the-side» es especialmente devastador porque no requiere ninguna interacción con la víctima para que la infección tenga éxito: basta con tener un dispositivo conectado a Internet. Además, no hay nada que los usuarios puedan hacer para protegerse, aparte de enrutar el tráfico a través de otra red. Esto puede hacerse con una VPN, pero esta opción no está disponible en algunos países, como China.

La gran mayoría de las víctimas de LuoYu se encuentran en China, por lo que los expertos de Kaspersky creen que la APT LuoYu se centra predominantemente en víctimas de habla china y en organizaciones relacionadas con este país. Sin embargo, los analistas de Kaspersky también han observado ataques en otros puntos del planeta, como Alemania, Austria, Estados Unidos, República Checa, Rusia e India.

«LuoYu es un actor de amenazas extremadamente sofisticado. Los ataques por sorpresa son muy destructivos, ya que la única condición necesaria para atacar un dispositivo es que esté conectado a Internet. Incluso si falla la primera vez, pueden repetir de nuevo, tantas veces como quieran, hasta tener éxito. Así es como pueden llevar a cabo ataques de espionaje extremadamente peligrosos y exitosos contra sus víctimas, que suelen ser diplomáticos, científicos y empleados de otros sectores clave. Independientemente de cómo se haya llevado a cabo el ataque, la única manera de que las víctimas potenciales se defiendan es permanecer atentas y contar con sistemas de seguridad robustos, como escaneos antivirus regulares, análisis del tráfico de red saliente y un amplio registro para detectar anomalías», comenta Suguru Ishimaru, analista senior de seguridad del equipo global de Investigación y Análisis (GReAT) de Kaspersky.

Para protegerse de una amenaza tan avanzada, Kaspersky recomienda:

  • Procedimientos de seguridad robustos, que incluyen escaneos antivirus regulares, análisis del tráfico de red saliente y un amplio registro para detectar anomalías.
  • Realizar una auditoría de ciberseguridad de sus redes y actuar ante cualquier brecha de seguridad descubierta en el perímetro o dentro de la red.
  • Instalar soluciones anti-APT y EDR que ayuden a detectar amenazas y a investigar y solucionar incidentes. También es aconsejable proporcionar al equipo SOC acceso a la última inteligencia frente a amenazas y actualizarlo regularmente con formación profesional. Todas estas funcionalidades se incluyen en Kaspersky Expert Security.
  • Junto con la protección adecuada de los endpoints, los servicios dedicados pueden ayudar contra los ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener los ataques en sus primeras etapas, antes de que los atacantes logren sus objetivos.
  • Estar al tanto de las nuevas amenazas para mantener un alto nivel de seguridad en los negocios. Threat Intelligence Resource Hub proporciona acceso a información independiente, continuamente actualizada y a nivel mundial sobre ciberataques y amenazas en curso sin coste para el usuario.

Puedes consultar el informe completo sobre WinDealer en Securelist.