Investigadores de Kaspersky Lab han detectado varios intentos de infectar entidades diplomáticas extranjeras en Irán con programas espías de fabricación casera. Al parecer, los ataques usan una actualización de la puerta trasera Remexi además de varias herramientas legítimas. Remexi se ha vinculado a un presunto grupo de ciberespionaje de idioma farsi conocido como Chafer y relacionado anteriormente con la vigilancia cibernética de personas en el Medio Oriente. La elección de las embajadas para sus ataques podría sugerir un nuevo objetivo para el grupo.
Esta operación resalta cómo los agentes de amenazas en las regiones emergentes montan campañas contra objetivos de interés utilizando malware relativamente básico y de fabricación casera combinado con herramientas que se encuentran disponibles al público. En este caso, los atacantes utilizaron una versión mejorada de la puerta trasera Remexi, la cual permite administrar a distancia la máquina de la víctima.
Remexi fue detectada por primera vez en 2015 y fue utilizada por un grupo de ciberespionaje llamado Chafer para una operación de vigilancia cibernética dirigida a individuos y organizaciones en todo el Medio Oriente. El hecho de que el malware de puerta trasera utilizado en la nueva campaña tenga un código similar a las muestras Remexi conocidas, combinado con el conjunto de víctimas a las que va dirigida, ha hecho que los investigadores de Kaspersky Lab la hayan vinculado a Chafer con relativa certeza.
El malware Remexi recién descubierto es capaz de ejecutar órdenes a distancia y obtener capturas de pantalla, así como datos del navegador, que incluyen credenciales del usuario, datos e historial de inicio de sesión y cualquier texto que se haya escrito, entre otras cosas. La información robada se filtra mediante la aplicación legítima Background Intelligent Transfer Service (BITS) de Microsoft, un componente de Windows diseñado para posibilitar las actualizaciones de este sistema operativo en un segundo plano. La tendencia a combinar malware con código robado o legítimo ayuda a los atacantes a ahorrar tiempo y recursos en la creación del malware y a hacer más complicada la detección de su origen.
“Cuando hablamos de posibles campañas de ciberespionaje patrocinadas por los Estados, la gente a menudo imagina que son operaciones avanzadas que emplean herramientas complejas desarrolladas por expertos. Sin embargo, las personas que están detrás de esta campaña de spyware parecen más administradores de sistemas que experimentados agentes de amenazas: saben cómo codificar, pero su campaña se basa más en el uso creativo de herramientas existentes que en características nuevas y avanzadas o en código de arquitectura elaborada. No obstante, incluso las herramientas relativamente simples pueden causar un daño considerable, por lo que instamos a las organizaciones a proteger su valiosa información y sistemas contra todos los niveles de amenazas, y a utilizar la inteligencia contra amenazas para comprender cómo está evolucionando el panorama”, dijo Denis Legezo, investigador de seguridad en Kaspersky Lab.
