Carbanak es uno de los grupos de cibercriminales más destacados de los últimos tiempos contra entidades financieras. Se estima que ha robado a unos 100 bancos en todo el mundo, pudiendo acumular una fortuna de hasta mil millones de dólares.
La habilidad de este grupo de ciberdelincuentes hace que utilicen servicios muy comunes para llevar a cabo sus ataques. Forcepoint ha averiguado a través de una investigación la existencia de una campaña activa que se está apoyando en ficheros RTF adjuntados a mensajes de phishing, pero lo más sorprendente es el uso de los servicios de Google como mando y control.
Servicios como Google Forms y Google Sheets están siendo usados por Carbanak, permitiendo que su tráfico sea escondido entre el de Google, reduciendo así las posibilidades de que sea bloqueado por alguna organización. Forcepoint comenta que cada vez que una víctima es infectada por el malware del grupo, una hoja de cálculos de Google Sheets es creada junto a un identificador único para la víctima, el cual es usado para manejar las interacciones con la máquina infectada. Entonces el atacante trata manualmente con la hoja de cálculos, recolectando cualquier dato devuelto por la computadora objetivo e introduce órdenes y malware adicionales en la hoja de cálculos que terminan ejecutándose en la computadora comprometida.
Forcepoint recalca que no sabe cuantos canales de mando y control ha abierto Carbanak en los servicios de Google, aunque ya ha reportado el problema a la compañía de Mountain View. Sin embargo, ha explicado que esta forma de proceder puede dar a los ciberdelincuentes más posibilidades de éxito que utilizando dominios recién creados o con mala reputación.
El fichero RTF empleado por Carbanak incluye un objeto OLE que contiene un script de Visual Basic (VBscript). Con el fin de engañar a sus víctimas emplea ingeniería social haciendo que hagan clic sobre una imagen para “desbloquear contenidos”. Si la víctima hace doble clic en la imagen que oculta el objeto OLE será preguntada por la ejecución de un fichero llamado unprotectected.vbe, que es en realidad el malware de Carbanak dedicado a llevar a cabo las acciones maliciosas, además de recibir y enviar órdenes de los servicios Google Apps Script, Google Sheets y Google Forms.
Los investigadores también han descubierto un nuevo módulo de script cifrado ‘ggldr’ dentro del fichero VBscript principal y junto a otros módulos de VBscript. Se cree que podría estar siendo usado para interaccionar con los servicios de Google.
Fuente:https://muyseguridad.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
