La esteganografía, una técnica que tradicionalmente se ha utilizado para ocultar mensajes dentro de medios digitales, ha encontrado un nuevo propósito en el campo de la ciberseguridad, pero no de la manera que muchos esperarían. Recientemente, se ha descubierto una serie de ciberataques denominados SteganoAmor, que han logrado infiltrarse en 320 organizaciones globales utilizando precisamente este método. Este enfoque no solo destaca la creatividad de los ciberdelincuentes sino también plantea serias preguntas sobre cómo las empresas pueden protegerse de amenazas tan encubiertas.
El grupo de ciberdelincuentes TA558 ha lanzado una sofisticada campaña, conocida como "SteganoAmor", que se caracteriza por el uso de esteganografía para incrustar código malicioso en imágenes. Este método permite a los atacantes entregar varias herramientas de malware en sistemas específicos de manera encubierta, pasando desapercibido tanto para los usuarios como para los productos de seguridad.
La esteganografía, que consiste en ocultar datos dentro de archivos que parecen inofensivos, es una técnica que TA558 ha empleado eficazmente para camuflar sus operaciones. Activo desde 2018, este actor de amenazas se ha centrado principalmente en el sector hotelero y turístico, principalmente en América Latina.
La reciente operación de TA558 fue identificada por investigadores de Positive Technologies, quienes descubrieron que la campaña "SteganoAmor" ha impactado a más de 320 entidades en diversos sectores y países, evidenciando la amplitud y el alcance de esta amenaza.
Conoce más sobre: Nueva Técnica de IDAT: Esteganografía eleva Amenaza Remcos RAT
El Ataque SteganoAmor
Documento utilizado en la campaña
Los ataques orquestados por TA558 inician con correos electrónicos que parecen inofensivos pero que incluyen archivos adjuntos (documentos de Excel y Word) que explotan la vulnerabilidad CVE-2017-11882, un problema conocido en el Editor de ecuaciones de Microsoft Office que fue resuelto en 2017.
Estos correos se originan desde servidores SMTP comprometidos, lo que disminuye la probabilidad de detección al parecer provenir de dominios confiables.
Si el destinatario tiene instalada una versión desactualizada de Microsoft Office, al abrir el documento se activará un exploit que descarga un script de Visual Basic (VBS). Este script, al ejecutarse, recupera una imagen JPG que contiene un código malicioso codificado en base 64.
Dentro de esta imagen, un código de PowerShell extrae y descarga un ejecutable oculto en un archivo de texto, también codificado en base 64 pero invertido, representando la carga útil final.
Positive Technologies ha identificado múltiples variantes de esta técnica de ataque, que distribuyen una amplia variedad de malware, incluyendo:
- AgentTesla: AgentTesla es un software espía que funciona como keylogger y ladrón de credenciales.
- FormBook: Un malware que recopila credenciales de navegadores web, captura pantallas, y registra pulsaciones de teclas.
- Remcos: Permite el control remoto de la máquina infectada, ejecución de comandos, y captura de actividad del teclado y de la cámara web.
- LokiBot: Dirigido a robar información como nombres de usuario y contraseñas.
- Guloader: Un descargador usado para distribuir cargas útiles secundarias diseñadas para eludir la detección antivirus.
- Snake Keylogger: Un keylogger que también recopila datos del portapapeles y captura de pantalla.
- XWorm: Un troyano de acceso remoto que permite el control total sobre la computadora infectada.
Los atacantes suelen almacenar las cargas útiles y los scripts maliciosos en servicios legítimos en la nube como Google Drive, usando su reputación para esquivar la detección por parte de soluciones antivirus. Los datos robados se transmiten a servidores FTP legítimos comprometidos, usados como infraestructura de comando y control (C2) para camuflar el tráfico malicioso como legítimo.
A pesar de que la mayoría de los más de 320 ataques identificados por Positive Technologies se centraron en América Latina, el alcance de estos ataques es global.
La vulnerabilidad utilizada en la cadena de ataque de TA558, pese a tener siete años, subraya la importancia de mantener los sistemas actualizados. Una simple actualización de Microsoft Office a una versión reciente neutralizaría estos ataques, demostrando que medidas de seguridad básicas pueden ser muy efectivas contra amenazas sofisticadas como SteganoAmor.
Te podrá interesar leer: ¿Tu software está al día?: Importancia de los Parches
Imagen esteganográfica utilizada en el ataque
Protección contra la Esteganografía Maliciosa
La detección de esteganografía requiere herramientas especializadas que puedan analizar las anomalías en los archivos digitales. Algunas medidas que las organizaciones pueden tomar para protegerse incluyen:
- Educación y Concienciación: Capacitar a los trabajadores sobre los riesgos de abrir archivos adjuntos o enlaces de fuentes desconocidas es fundamental.
- Herramientas de Seguridad Avanzadas: Utilizar software que incluya detección de esteganografía puede ayudar a identificar archivos modificados de manera sospechosa.
- Análisis Forense: En caso de sospecha, el análisis forense puede determinar si una imagen contiene cargas útiles ocultas.
- Políticas de Seguridad Estrictas: Implementar políticas que controlen cómo y cuándo se pueden compartir y descargar archivos en redes corporativas.
Conoce más sobre: Importancia de la Concienciación en Seguridad Cibernética
Conclusión
SteganoAmor es un recordatorio de que las técnicas de ciberataque están en constante evolución. La esteganografía, una vez una curiosidad digital, ahora representa una seria amenaza en el paisaje de la ciberseguridad. A medida que las organizaciones buscan protegerse contra amenazas emergentes, la comprensión de técnicas como la esteganografía se vuelve crucial. Solo a través de una combinación de tecnología avanzada, educación continua y políticas de seguridad rigurosas se pueden mitigar estos riesgos sofisticados y mantener seguras las infraestructuras críticas.
