Ciberataques a través de Google Sheets: Una nueva amenaza de espionaje
En el cambiante panorama de la ciberseguridad, los ciberdelincuentes están constantemente buscando nuevas formas de explotar vulnerabilidades y llevar a cabo sus actividades maliciosas. Recientemente, se ha descubierto una novedosa campaña de malware que utiliza Google Sheets, una herramienta de colaboración en línea ampliamente utilizada, como mecanismo de mando y control (C2). Esta campaña, detectada por Proofpoint, se hace pasar por autoridades fiscales de diferentes países para atacar a organizaciones de todo el mundo.
El modus operandi de la campaña
La campaña se inicia con el envío de correos electrónicos fraudulentos que aparentan provenir de autoridades fiscales de países como Estados Unidos, Reino Unido, Francia, Alemania, Italia, India y Japón. Estos correos electrónicos alertan a los destinatarios sobre supuestos cambios en sus declaraciones de impuestos y los instan a hacer clic en enlaces maliciosos.
Al hacer clic en estos enlaces, los usuarios son redirigidos a una página de destino que verifica si el sistema operativo es Windows. En caso afirmativo, se aprovecha un manejador de protocolo para mostrar un archivo de acceso directo de Windows (LNK) que se hace pasar por un archivo PDF. Si el usuario ejecuta este archivo, se desencadena una serie de acciones que culminan con la ejecución de un script de Python.
El papel de Google Sheets
El script de Python recopila información del sistema infectado y la envía a un dominio controlado por los atacantes. Además, descarga un archivo ZIP protegido por contraseña que contiene un ejecutable legítimo y un archivo DLL malicioso llamado Voldemort. Este archivo DLL se carga lateralmente y actúa como un backdoor, permitiendo a los atacantes recopilar información, exfiltrar datos y ejecutar comandos en el sistema comprometido.
Lo más destacable de esta campaña es el uso de Google Sheets como mecanismo de C2. Voldemort utiliza Google Sheets para recibir instrucciones de los atacantes y enviarles información robada. Esta técnica dificulta la detección y el bloqueo de la comunicación maliciosa, ya que se camufla en el tráfico legítimo de Google Sheets.
El alcance de la campaña
La campaña ha atacado a más de 70 organizaciones de diversos sectores en todo el mundo. Entre los sectores afectados se encuentran los seguros, la industria aeroespacial, el transporte, el mundo académico, las finanzas, la tecnología, la industria, la sanidad, la automoción, la hostelería, la energía, la administración pública, los medios de comunicación, la industria manufacturera, las telecomunicaciones y las organizaciones de utilidad social.
Aunque la campaña no se ha atribuido a un agente de amenazas concreto, se estima que se han enviado hasta 20.000 correos electrónicos como parte de los ataques. Esto indica que se trata de una campaña a gran escala con un alcance potencialmente significativo.
Proofpoint ha descrito esta actividad como una mezcla de características de amenazas persistentes avanzadas (APT) y ciberdelincuencia. Por un lado, la campaña utiliza técnicas sofisticadas de evasión y persistencia, típicas de las APT. Por otro lado, también emplea técnicas comunes en el panorama de la ciberdelincuencia, como el uso de URI de esquemas de archivos para acceder a recursos externos de compartición de archivos.
Esta naturaleza híbrida dificulta la evaluación del nivel de capacidad de los atacantes y la determinación de sus objetivos finales. Sin embargo, se cree que la campaña está probablemente motivada por el espionaje, con el objetivo de recopilar información confidencial de las organizaciones atacadas.
Fuente: The Hacker news