 |
||
“El Machete”....Bitácora del analista antivirusflacoroo Wednesday, August 20, 2014 Introducción Hace un tiempo, un cliente nuestro en Latinoamérica nos comentó que estuvo de visita en China y que creía que su equipo se infectó con un virus todavía no detectado, no conocido. Mientras le ayudábamos con el análisis de la máquina, encontramos un archivo muy interesante que no tenía nada que ver con China pues no contenía ningún rastro de códigos chinos. En principio, aparentaba ser una aplicación relacionada con Java, pero tras un rápido análisis, quedó claro que era algo más que un simple archivo de Java. šEra parte de un ataque dirigido al que bautizamos como “Machete”. ¿Qué es “Machete”? “Machete” es una campaña de ataques dirigidos con orígenes en idioma español. Creemos que esta campaña empezó en 2010 y se renovó con una infraestructura mejorada en 2012. Es posible que la operación siga "activa”. El programa malicioso es capaz de realizar las siguientes operaciones de ciberespionaje: *Captura de actividad en el teclado *Captura de la entrada de audio en el micrófono del equipo *Captura de imágenes de la pantalla *Captura de datos de localización geográfica *Captura de fotos con la cámara web del equipo *Envío de copias de archivos a un servidor remoto *Copias de archivos a un dispositivo USB especial cuando se lo inserta *Captura del contenido del portapapeles y la información en el equipo atacado Objetivos de “Machete” Rastros en el equipo infectado Se crea el archivo Java Update.lnk que conduce a appdata/Jre6/java.exe El programa malicioso se instala en appdata/ MicroDes/ Procesos en ejecución Creates Task Microsoft_up El lado humano de “Machete”Idioma La primera evidencia es el idioma utilizado, tanto para las víctimas como por los atacantes, español. Todas las víctimas son hispanoparlantes, por los nombres de archivos de los documentos robados. El idioma que utilizan los operadores de la campaña también es el español, ya que el código del lado del servidor está escrito en este idioma: informes, ingresar, peso, etc. Conclusión El descubrimiento de “Machete” revela que existen muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, estos ataques conforman el ciberarsenal de muchos países hoy. Con seguridad en este mismo momento hay otros ataques dirigidos que operan paralelamente y otros que están por nacer. Nota: Si está interesado en el reporte técnico completo de esta APT, pueden solicitarlo escribiéndonos a: http://www.viruslist.com/sp/weblog?weblogid=208188998 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|