Un malware de hace diez años ataca a la policía ucraniana


Más de 100 documentos que potencialmente contienen información confidencial sobre las actividades del gobierno y la policía de Ucrania se cargaron recientemente en un repositorio público, como resultado de un malware de hace casi 10 años detectado por un virus antiguo e incompleto. Este es un caso inusual en el que el virus escapó. y sigue representando una amenaza.

El documento, descubierto como parte de una operación rutinaria de búsqueda de amenazas realizada por investigadores del equipo de investigación de inteligencia de amenazas Talos de Cisco, estaba infectado con un virus llamado “OfflRouter”, según un análisis proporcionado exclusivamente a CyberScoop. El virus data de 2015 y nunca ha sido investigado públicamente.

En este caso, OfflRouter actúa como un vehículo para entregar un archivo ejecutable llamado “ctrlpanel.exe” que intenta reducir la configuración de seguridad de Word y seleccionar documentos adicionales para infectar, dijo el investigador de extensión de Talos, Vanja Svajcer, a CyberScoop por correo electrónico.

El virus solo se propaga compartiendo documentos infectados y medios extraíbles, como memorias USB, y solo ataca archivos con la extensión de archivo .doc. Esto indica que este virus fue creado para atacar a una pequeña cantidad de entidades o archivos específicos, o que el autor del virus cometió un error al diseñar el malware. Las versiones más recientes de Word usan la extensión de archivo “.docx”, pero todavía se usa “.doc”.

En medio de toda la actividad de piratería que tiene lugar en Ucrania, el resurgimiento de un viejo virus es una anomalía.

“Se vuelve aún más interesante cuando el mismo viejo virus hace que los usuarios carguen más de 100 documentos oficiales de la policía y del gobierno local en VirusTotal durante varios años (tan recientemente como en febrero de 2024)”, dijo Sweisser. “Parece estar afectando a un gran número de personas y se ha subido una cantidad significativa de documentos”.

Sweisser añadió que también es interesante que la actividad del virus se limite a Ucrania. Los grupos de hackers rusos participan constantemente en actividades cibernéticas ofensivas en Ucrania, que van desde el sabotaje hasta el ciberespionaje contra organizaciones públicas y privadas. Los investigadores no pudieron determinar quién estaba detrás de esta actividad.

Los investigadores de Talos examinaron documentos del gobierno local de Ucrania y de la Policía Nacional de Ucrania subidos a VirusTotal, un sitio web utilizado por investigadores de inteligencia de amenazas para escanear documentos en busca de malware, virus y otras amenazas. Encontré algunos documentos similares y descubrí este virus. Una investigación más exhaustiva reveló más de 100 documentos que pueden contener información confidencial sobre operaciones policiales.

El análisis de estos documentos reveló que estaban infectados con OfflRouter. Un análisis de OfflRouter de 2018 realizado por el Equipo de Respuesta a Incidentes de Seguridad Informática del Gobierno de Eslovaquia, basado en archivos de la Policía Nacional de Ucrania, encontró que “es raro encontrar malware que parezca la primera etapa de un ciberataque, pero que pueda eliminarse en la segunda”. Etapa. No se ha revelado en este momento qué herramientas del dispositivo se utilizan ni a qué organizaciones se dirige la campaña.

Los archivos policiales subidos en 2018 y más recientemente “muestran que el virus sobrevivió en ese entorno durante más de cinco años”, dijo Sweisser. “Creemos que es importante resaltar el riesgo de que dichos virus infecten a las agencias gubernamentales y el riesgo resultante de fugas de datos no intencionales. Creemos que es importante resaltar el riesgo de que tales virus infecten a las agencias gubernamentales y el riesgo resultante de fugas de datos no intencionales. “Existe la posibilidad de que se hayan filtrado datos”.

El análisis sugiere que estos documentos pueden servir como señuelo para atacar a otras instituciones y organizaciones. Los documentos señuelo se crean agregando malware o explotando secuencias de comandos automatizadas dentro del documento para entregar malware para realizar diversas tareas. Esta es una táctica común utilizada por los grupos de piratas informáticos como primer paso para obtener acceso a la red de un objetivo.

Un ejemplo reciente es el grupo Gamaredon, vinculado a Rusia, que ataca a instituciones ucranianas con documentos que contienen malware para robar información como parte de una campaña de ciberespionaje. El verano pasado, una operación de piratería rastreada como UNC1151 (que se sospecha está afiliada al gobierno bielorruso) utilizó esta táctica para atacar a múltiples agencias gubernamentales en Ucrania y Polonia, informó Talos en ese momento.

Los investigadores de BlackBerry dijeron en un informe en ese momento que una operación de piratería en curso, rastreada como una comedia romántica con posibles vínculos con Rusia, estaba explotando esta táctica en julio de 2023 para atacar a la OTAN. Detalló que durante la cumbre recopiló información sobre Ucrania. esfuerzos por unirse a la OTAN.

Autor: AJ Vicens AJ cubre las amenazas a los Estados-nación y el cibercrimen. Anteriormente, fue reportera de Mother Jones. Contáctenos en Signal/WhatsApp: (810-206-9411).



Fuente: https://cyberscoop.com/decade-old-malware-haunts-ukrainian-police/