En el dinámico mundo de la ciberseguridad, la aparición de nuevas amenazas es una constante. Recientemente, Google ha revelado información crítica sobre una nueva forma de malware backdoor, denominada "Spica", presuntamente implementada por hackers asociados con el Servicio Federal de Seguridad de Rusia (FSB).
Google informa que el grupo de piratería ColdRiver, presuntamente respaldado por Rusia, está utilizando un nuevo malware de puerta trasera previamente desconocido. Los atacantes emplean cargas útiles que se camuflan como una herramienta de descifrado de PDF para llevar a cabo sus operaciones.
Los ciberdelincuentes envían documentos PDF aparentemente cifrados a través de correos electrónicos de phishing, haciéndose pasar por individuos relacionados con sus objetivos. Esta táctica fue identificada por primera vez en noviembre de 2022. Cuando los destinatarios informan que no pueden abrir los documentos "cifrados", se les proporciona un enlace para descargar un ejecutable de descifrado de PDF llamado Proton-decrypter.exe, que supuestamente revelaría el contenido de los documentos falsos.
Te podrá interesar leer: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Google TAG, el equipo de seguridad de Google, explicó que COLDRIVER presenta estos documentos como nuevos artículos de opinión u otros tipos de contenido que la cuenta de suplantación busca publicar, solicitando comentarios de los objetivos. Sin embargo, cuando el usuario abre el PDF inofensivo, el texto en su interior está cifrado.
A pesar de que el software de descifrado falso muestra el documento PDF señuelo, en realidad, abre una puerta trasera en los dispositivos de las víctimas utilizando un malware denominado Spica, detectado por los investigadores de seguridad de Google TAG, quienes rastrearon estos ataques.
Los investigadores creen que existen varias muestras de Spica que coinciden con los señuelos de phishing, cada una con un documento señuelo diferente. Sin embargo, durante la investigación de esta campaña, solo lograron recuperar una muestra de Spica.
Este malware basado en Spica Rust utiliza JSON a través de websockets para comunicarse con su servidor de comando y control (C2). Esto le permite ejecutar comandos de shell arbitrarios, robar cookies de navegadores como Chrome, Firefox, Opera y Edge, cargar y descargar archivos, y exfiltrar documentos.
Una vez que Spica se implementa en un dispositivo, también establece una persistencia mediante un comando de PowerShell ofuscado, creando una tarea programada llamada 'CalendarChecker' en los dispositivos comprometidos.
Google TAG ha observado el uso de SPICA desde septiembre de 2023, pero cree que COLDRIVER ha estado utilizando esta puerta trasera al menos desde noviembre de 2022. Aunque TAG ha identificado cuatro variantes diferentes del señuelo PDF "cifrado", solo pudieron recuperar con éxito una única instancia de SPICA.
Archivo PDF de distracción
Conoce más sobre: Análisis de Malware con Wazuh
Se han emitido alertas sobre ataques respaldados por el gobierno. Google ha incluido todos los dominios, sitios web y archivos utilizados en estos ataques en su servicio de protección contra el phishing, Safe Browsing. Además, Google ha notificado a todos los usuarios de Gmail y Workspace que han sido objetivo de estos ataques respaldados por el gobierno.
ColdRiver, conocido también como Callisto Group, Seaborgium y Star Blizzard, ha estado operando desde finales de 2015. Este grupo es conocido por sus habilidades en inteligencia de código abierto (OSINT) y técnicas de ingeniería social que utilizan para investigar y atraer a sus objetivos en ataques de phishing.
En diciembre, el Reino Unido y los aliados de la alianza Five Eyes vincularon a ColdRiver con la división 'Centro 18' del Servicio Federal de Seguridad (FSB) de Rusia, que se encarga de la contrainteligencia y la seguridad interna del país.
Anteriormente, Microsoft logró frustrar los ataques de ColdRiver dirigidos a varias naciones europeas de la OTAN al desactivar las cuentas de Microsoft que los atacantes utilizaban para llevar a cabo la vigilancia y la recopilación de correos electrónicos.
Desde diciembre de 2023, el Departamento de Estado de los Estados Unidos ha estado ofreciendo recompensas de hasta 10 millones de dólares por información que pueda ayudar a localizar o identificar a los actores de amenazas de ColdRiver.
Para evitar ser víctima del malware Spica, es importante seguir una serie de buenas prácticas de seguridad, tales como:
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
La revelación de Spica por parte de Google es un recordatorio oportuno de la naturaleza cambiante y cada vez más sofisticada de las amenazas cibernéticas. Mientras que los actores estatales continúan desplegando herramientas avanzadas como Spica, la necesidad de una seguridad robusta y una cooperación internacional nunca ha sido tan crítica. Protegerse contra tales amenazas es un esfuerzo continuo que requiere atención, recursos y, lo más importante, una conciencia colectiva sobre la importancia de la ciberseguridad.