1

Empresas de Chile y Estados Unidos pueden ser atacadas por virus Grabit

Una nueva campaña de ciberespionaje dirigida a negocios, y conocida por el nombre de”Grabit,” con la cual se pueden robar cerca de 10,000 archivos de empresas pequeñas y medianas acaba de ser descubierta por los especialistas de Kaspersky Lab.La lista de los sectores objetivo incluye las áreas de la química, nanotecnología, educación, agricultura, medios, construcción y otros.

Estos ataques cibernéticos ya han sido localizados en los Estados Unidos, Chile, Tailandia, India, Emiratos Árabes Unidos, Alemania, Israel, Canadá, Francia, Austria, Sri Lanka y Bélgica.

Ido Noar, investigador Senior de Seguridad del equipo de Análisis e Investigación Global de Kaspersky Lab informó que últimamente se observan muchas campañas de espionaje enfocadas en empresas, organizaciones gubernamentales y otras entidades de alto perfil, “en donde rara vez se ven negocios pequeños o medianos en las listas de objetivos. Sin embargo, Grabit demuestra que no se trata sólo del juego del pez grande, en el mundo cibernético cada organización, que tenga dinero, información o influencia política, podría ser del interés potencial de uno u otro actor malicioso.”

“Grabit sigue activo, y es crucial que las PyMEs revisen su red para asegurar que no haya sido afectada. El pasado15 de mayo se encontró que un registrador de teclas de Grabit estaba registrando miles de credenciales de cuentas de víctimas de cientos de sistemas infectados. Esta amenaza no se debe subestimar”.

Explica Noar, que la infección comienza cuando un usuario de alguna organización comercial recibe un correo electrónico con un enlace que luce como un archivo de Word (.doc) de Microsoft Office. El usuario hace clic para descargarlo y el programa de espionaje entra a la máquina desde un servidor remoto que ha sido hackeado por el grupo para que sirva como un concentrador de malware.

“Los atacantes controlan a sus víctimas mediante un registrador de teclas HawkEye, una herramienta comercial de espionaje de HawkEyeProducts, y un módulo de configuración que contiene varias Herramientas de Administración Remota (RATs)”.

Para ilustrar la escala de la operación, Kaspersky Lab puede revelar que un registrador de teclas en sólo uno de los servidores de comando y control fue capaz de robar 2,887 contraseñas, 1,053 correos electrónicos y 3,023 nombres de usuario de 4,928 anfitriones diferentes, interna y externamente, incluyendo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo!, LinkedIn y Twitter, así como cuentas bancarias y otros.

El actor de Grabit no se preocupa por ocultar su actividad: algunas muestras maliciosas utilizaron el mismo servidor, incluso las mismas credenciales, debilitando su propia seguridad. Por otro lado, los atacantes utilizan técnicas fuertes de mitigación para mantener su código oculto para los ojos de analistas. Esto lleva a pensar a Kaspersky Lab que atrás de la operación de olfateo se encuentra un grupo errático, con algunos miembros más técnicos y enfocados en no ser rastreados que otros.  El análisis experto sugiere que quienquiera que haya programado el malware no escribió todo el código desde cero.

Para protegerse contra Grabit

  • Revise esta ubicación: C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, si contiene archivos ejecutables, usted podría estar infectado con el malware. Esto es una advertencia que no debe ignorar.
  • Las Configuraciones del Sistema Windows no deben contener un archivo ejecutable grabit1.exe en la tabla de arranque.  Ejecute “msconfig” y asegúrese que no contenga los registros de grabit1.exe.
  • No abra archivos anexos y enlaces de personas que no conozca. Si no lo puede abrir, no lo envié a otros – pida asistencia a un administrador de TI.
  • Utilice una solución avanzada antimalware actualizada, y siempre siga la lista de tareas del antivirus para procesos sospechosos.

Los productos de Kaspersky Lab detectan todas las muestras conocidas de Grabit y protegen a usuarios contra esta amenaza.

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.