En una era donde la tecnología avanza a pasos agigantados, también lo hacen las amenazas cibernéticas, adoptando formas cada vez más sofisticadas y dañinas. Un ejemplo reciente y preocupante de esto es la ola de ataques de criptojacking que ha sacudido a numerosas empresas en Italia, utilizando un método sorprendentemente simple pero efectivo: USB maliciosos.
Un grupo de ciberdelincuentes con motivación financiera conocido como UNC4990 ha estado utilizando dispositivos USB modificados como medio inicial de infección para llevar a cabo ataques dirigidos a diversas organizaciones en Italia. Según Mandiant, una empresa propiedad de Google, estos ataques han impactado en múltiples sectores, incluyendo el ámbito de la salud, el transporte, la construcción y la logística.
La empresa indicó en un informe reciente que "las operaciones llevadas a cabo por UNC4990 generalmente consisten en una infección masiva a través de dispositivos USB, seguida por la ejecución del descargador denominado EMPTYSPACE".
Durante estas operaciones, el grupo utiliza sitios web de terceros como GitHub, Vimeo y Ars Technica para alojar etapas adicionales de código encriptado, que son descargadas y decodificadas utilizando el lenguaje de programación PowerShell en las primeras etapas de la cadena de ejecución. Se cree que UNC4990 ha estado activo desde finales de 2020 y opera desde fuera de Italia, a pesar de utilizar la infraestructura italiana con fines de comando y control (C2).
Conoce más sobre: Desentrañando el Mundo de la Ciberseguridad C2
Hasta el momento, no se ha determinado si UNC4990 actúa únicamente como facilitador de acceso inicial para otros grupos de ciberdelincuentes. Además, no está claro cuál es el objetivo final de este grupo, aunque se ha reportado un caso en el que después de varios meses de actividad se implementó un minero de criptomonedas de código abierto.
Los detalles de esta campaña fueron previamente documentados por Fortgale y Yoroi a principios de diciembre de 2023, y Fortgale siguió al grupo bajo el nombre de Nebula Broker.
El proceso de infección comienza cuando una víctima hace doble clic en un archivo de acceso directo LNK malicioso en un dispositivo USB extraíble. Esto desencadena la ejecución de un script de PowerShell que descarga el archivo EMPTYSPACE (también conocido como BrokerLoader o Vetta Loader) desde un servidor remoto, utilizando otro script de PowerShell intermedio alojado en Vimeo.
Te podrá interesar leer: Ataques de Cryptojacking: Protección de Recursos
Yoroi ha reportado la identificación de cuatro variantes distintas de EMPTYSPACE, programadas en Golang, .NET, Node.js y Python. Estas variantes funcionan como intermediarios para recuperar cargas maliciosas en la siguiente fase a través de solicitudes HTTP desde el servidor C2, incluyendo una puerta trasera conocida como QUIETBOARD.
Un aspecto destacado de esta etapa es la utilización de plataformas populares como Ars Technica, GitHub, GitLab y Vimeo para alojar el contenido malicioso. Los investigadores de Mandiant aseguraron que el contenido alojado en estos servicios no suponía un riesgo directo para los usuarios habituales, ya que de forma aislada, era completamente inofensivo. Quienes inadvertidamente hayan interactuado con este contenido previamente no corren el peligro de haber sido comprometidos.
En contraste, QUIETBOARD es una puerta trasera basada en Python que cuenta con una amplia gama de funcionalidades. Esto le permite ejecutar comandos arbitrarios, modificar direcciones de billeteras criptográficas copiadas al portapapeles para redirigir transferencias de fondos hacia billeteras controladas por los atacantes, propagar el malware a dispositivos de almacenamiento extraíbles, tomar capturas de pantalla y recopilar información del sistema.
Además, esta puerta trasera puede expandirse de forma modular y ejecutar módulos Python independientes, como mineros de criptomonedas, además de recuperar y ejecutar código Python dinámicamente desde el servidor C2.
Mandiant señaló que el análisis de EMPTYSPACE y QUIETBOARD evidencia cómo los actores de amenazas han adoptado un enfoque modular en el desarrollo de su conjunto de herramientas. El hecho de utilizar múltiples lenguajes de programación para crear diferentes versiones del descargador EMPTYSPACE y cambiar las URL cuando se elimina el video de Vimeo refleja su disposición a experimentar y adaptarse de manera efectiva a medida que avanzan en sus operaciones.
Podría interesarte leer: ¿Por qué la Seguridad USB es vital para Proteger tu Empresa?
Los ataques a empresas italianas mediante USB maliciosos son un recordatorio de la constante evolución de las amenazas cibernéticas. La educación, las prácticas de seguridad robustas y la preparación son clave para protegerse contra estos sofisticados ataques. Las empresas deben estar siempre un paso adelante en la seguridad cibernética para garantizar la protección de sus activos y la confianza de sus clientes.