Recientemente, se ha descubierto que un atacante vinculado al Estado ruso, conocido como Fancy Bear (también como APT28, Pawn Storm o Tsar Team, entre otros), está aprovechando el movimiento del ratón en documentos señuelos de Microsoft PowerPoint para instalar malware en empresas. Esta técnica ha sido diseñada para activarse cuando el usuario inicia el modo de presentación y mueve el ratón sobre el documento.
Los objetivos potenciales de la operación incluyen a entidades e individuos que operan en los sectores de defensa y gobierno de Europa y Europa del Este. El ataque emplea un documento señuelo que hace uso de una plantilla vinculada a la Organización para la Cooperación y el Desarrollo Económicos (OCDE).
Nunsys, compañía especializada en soluciones tecnológicas integrales y experta en ciberseguridad, ha analizado la amenaza para ofrecer una serie de recomendaciones para empresas y organismos que potencialmente puedan verse afectados.
Cómo funciona la amenaza
El malware ejecuta una secuencia de comandos de la herramienta PowerShell, que descarga y activa un “dropper” desde la solución de almacenamiento OneDrive. Dicho “dropper”, un archivo de imagen aparentemente inofensivo, funciona como una vía para incorporar un fichero o “payload” persistente, una variante de un malware conocido como Graphite, que usa Microsoft Graph API y OneDrive para comunicaciones de comando y control (C&C) para obtener información.
Este tipo de ataque puede estar produciéndose actualmente, dado que las URL utilizadas en los ataques más recientes aparecieron activas en agosto y septiembre, aunque los piratas informáticos habían sentado previamente las bases para la campaña entre enero y febrero.
6 medidas de prevención
“Aunque el objetivo de la campaña parece ir dirigido al sector de la defensa y gobierno, no conviene descuidar la vigilancia en el resto de industrias, especialmente dado el amplio uso de PowerPoint como herramienta ofimática en toto tipo de empresas”, señala Rafael Vidal Iniesta, gerente de negocio de ciberseguridad y gobierno IT en Nunsys
El responsable recomienda una serie de medidas de asegurar para ayudar a garantizar la seguridad de las organizaciones:
- Contar con herramientas EDR (detección y respuesta del endpoint, es decir, del dispositivo informático del empleado) para monitorizar el tráfico entre dispositivos y red y proteger el puesto de trabajo.
- Prohibir uso de macros en documentos ofimáticos que provengan de fuentes no confiables (Internet, Email, etc.), y deshabilitar línea de comandos (“powershell”) en perfiles de usuarios que no lo requieren.
- Contar con herramientas de gestión y despliegue centralizado de parches de seguridad de los sistemas operativos, verificando en la web de los fabricantes que se está utilizando la última versión del software.
- Asegurar el sistema de copias de seguridad para prevenir que, ante una intrusión, los usuarios maliciosos puedan manipular o eliminar las copias de seguridad. Por ejemplo, sacando los equipos de copias de seguridad fuera del dominio de la empresa.
- Desplegar dispositivos de seguridad perimetral, como un cortafuegos que filtre las conexiones que se establecen desde y hacia el dispositivo de los empleados.
- Permanecer informado y al día de las noticias sobre ciberseguridad vinculadas a nuevas vulnerabilidades, 0-days y nuevos mecanismos de ataque.