El blog d’Escuda va publicar fa uns dies un post on s’alertava de com la crisi sanitària havia sigut aprofitada pels hackers per crear noves temàtiques de ciberatacs. Aquesta tendència continua i en aquesta ocasió ens fem ressó d’una nova campanya de hackeig que també ha utilitzat el coronavirus com a reclam, en aquest cas l’objectiu era perjudicar sectors públics i privats de l’Azerbaijan i, també, la seva indústria d’energia eòlica. L’element d’atracció per fer caure les víctimes al parany era l’obtenció d’informació al voltant de la COVID-19, el mètode utilitzat era la introducció en els dispositius d’un virus de tipus troià capaç de robar documents confidencials, contrasenyes i imatges de la webcam.

L’atac es feia a partir d’un document de Microsoft Word on hi havia annexat un virus troià basat en el llenguatge de programació Python, quan s’obria aquest arxiu s’executava automàticament un macro amb una sèrie d’ordres que permetien desplegar dins del dispositiu el software maliciós i fer-lo funcionar.

Però, com arribaven aquests arxius de Microsoft Word fins a les víctimes? Es desconeix el procediment exacte però les investigacions indiquen que s’haurien descarregat des de dominis enganyosos i a través d’un atac de phishing que va patir el webmail del Govern de l’Azerbaijan. Aquests atacs van començar el febrer i utilitzaven missatges que suposadament provenien d’agències governamentals de l’Azerbaijan i de l’Índia, els documents adjuntats en aquestes comunicacions sovint feien referència a informació sobre el COVID19 i, en alguns casos, el mateix nom de l’arxiu també tenia relació amb el coronavirus (C19.docx)

Un cop el virus troià havia aconseguit el control del dispositiu desplegava noves eines per completar el procés de robatori de dades, una d‘aquestes eines era un software que permetia transmetre la informació robada a través de correu electrònic o amb un protocol de transmissió d’arxius. A més a més s’utilitzava una altra eina que permetia a l’atacant agafar el control de la webcam dels dispositius infectats.

El virus monitoritzava arxius molt específics, carpetes des d’on seleccionava i robava informació concreta per la qual el hacker estava interessat. L’ús del llenguatge de programació Python hauria evitat que les eines tradicionals de detecció descobrissin aquest tipus de virus ja que no consideraven sospitoses les seves tècniques d’execució.

Aquest tipus de ciberatacs es dirigien cap a sectors públics i privats de l’Azerbaijan però també a la indústria energètica dels molins de vent, l’objectiu era atacar els sistemes SCADA que s’utilitzen en els controls de producció, aquests consisteixen en un programari que proporciona comunicació a distància amb màquines o dispositius, això permet controlar el procés de producció de forma automàtica des de la pantalla de l’ordinador. En aquest cas els sistemes SCADA controlen les turbines dels molins eòlics.

Aquests atacs representen un nou capítol en l’increment de ciberatacs que s’aprofiten de la situació de  confusió generada per la COVID-19. El ciberatacs són un tipus d’amenaces que es poden presentar de moltes maneres diferents i per les qual existeixen solucions pràctiques.

Escuda et podem assessorar per defensar-te de la millor manera possible d’aquestes amenaces, pots contactar amb nosaltres trucant al 931 931 848 o omplint aquest formulari.

Fonts: Hacker News i Talos

#escuda #ciberseguretat #cibersecurity #phishing #python