Noticias
Carbanak está usando los servicios de Google como mando y control
Carbanak es uno de los grupos de cibercriminales más destacados de los últimos tiempos contra entidades financieras. Se estima que ha robado a unos 100 bancos en todo el mundo, pudiendo acumular una fortuna de hasta mil millones de dólares.
La habilidad de este grupo de ciberdelincuentes hace que utilicen servicios muy comunes para llevar a cabo sus ataques. Forcepoint ha averiguado a través de una investigación la existencia de una campaña activa que se está apoyando en ficheros RTF adjuntados a mensajes de phishing, pero lo más sorprendente es el uso de los servicios de Google como mando y control.
Servicios como Google Forms y Google Sheets están siendo usados por Carbanak, permitiendo que su tráfico sea escondido entre el de Google, reduciendo así las posibilidades de que sea bloqueado por alguna organización. Forcepoint comenta que cada vez que una víctima es infectada por el malware del grupo, una hoja de cálculos de Google Sheets es creada junto a un identificador único para la víctima, el cual es usado para manejar las interacciones con la máquina infectada. Entonces el atacante trata manualmente con la hoja de cálculos, recolectando cualquier dato devuelto por la computadora objetivo e introduce órdenes y malware adicionales en la hoja de cálculos que terminan ejecutándose en la computadora comprometida.
Forcepoint recalca que no sabe cuantos canales de mando y control ha abierto Carbanak en los servicios de Google, aunque ya ha reportado el problema a la compañía de Mountain View. Sin embargo, ha explicado que esta forma de proceder puede dar a los ciberdelincuentes más posibilidades de éxito que utilizando dominios recién creados o con mala reputación.
El fichero RTF empleado por Carbanak incluye un objeto OLE que contiene un script de Visual Basic (VBscript). Con el fin de engañar a sus víctimas emplea ingeniería social haciendo que hagan clic sobre una imagen para “desbloquear contenidos”. Si la víctima hace doble clic en la imagen que oculta el objeto OLE será preguntada por la ejecución de un fichero llamado unprotectected.vbe, que es en realidad el malware de Carbanak dedicado a llevar a cabo las acciones maliciosas, además de recibir y enviar órdenes de los servicios Google Apps Script, Google Sheets y Google Forms.
Los investigadores también han descubierto un nuevo módulo de script cifrado ‘ggldr’ dentro del fichero VBscript principal y junto a otros módulos de VBscript. Se cree que podría estar siendo usado para interaccionar con los servicios de Google.
Fuentes | ThreatPost y The Hacker News