Hackers chinos lanzan ataques contra personal militar de Estados Unidos
Bitdefender ha alertado sobre un ataque informático organizado desde China, en el que los responsables han utilizado la difícil situación por la tensión nuclear con Irán. Los hackers han enviado un documento titulado “La situación nuclear y petrolífera en Irán” para tomar el control de cualquier ordenador.
Los ciberciminales no tienen reparos a la hora de aprovehcrase de las tensiones políticas o de los desastres naturales a la hora de cometer sus fechorías. En ese sentido y aprovechando la creciente tensión política creada por el supuesto programa secreto de armas nucleares de Irán, ciberdelincuentes chinos han logrado infectar con malware miles de equipos, posiblemente con la esperanza de infectar al personal militar de EE.UU. Así lo asegura Bitdefender, empresa que ha localizado y hecho pública esta amenaza.
Este ataque dirigido comienza con el envío por correo electrónico de un documento word infectado. El documento, escrito en inglés, se titula: "Iran´s Oil and Nuclear Situation.doc", es decir, “Situación nuclear y petrolera de Irán” y busca sacar partido de la curiosidad del usuario. El documento en cuestión, explican desde Bitdefender, contiene un código que intenta cargar un archivo de vídeo en formato Mp4 desde una web. Este archivo MP4 no es el habitual vídeo de YouTube, sino que ha sido diseñado para incluir una cabecera válida por lo que legítimamente puede identificarse como MP4, pero el resto del archivo está lleno de código malicioso diseñado para aprovechar una vulnerabilidad en Flash (CVE-2012-0754), y permitir la ejecución de otro código malicioso incrustado en el Word inicial.
La operación se lleva a cabo de manera encubierta: el archivo MP4 que permite el aprovechamiento de la vulnerabilidad se transmite desde la web, lo que dificulta su detección por las soluciones de seguridad. Además, el archivo malicioso contenido en el word (US.EXE) tiene múltiples capas de cifrado para evadir los antivirus. El malware principal, una vez en el equipo, se almacena en la carpeta temporal y se ejecuta. Se trata de un archivo de 4,63 MB que imita la aplicación JavaUpdater y que procede de China. Dentro del archivo, el código malicioso de sólo 22,5 KB intenta conectarse a un servidor que utiliza servicios de DNS dinámico para cambiar permanentemente su dirección IP y evitar así ser localizado.
Después de que infecte el ordenador, este ejemplar de malware (identificado por BitDefender como Gen: Variant.Graftor.15447) empieza a recibir órdenes de su creador, lo que permite a éste tomar el control del ordenador infectado.
“Esto es claramente un ataque dirigido, que pueden tener como objetivo al personal militar de EE.UU. involucrado en las operaciones militares iraníes. El malware no ha sido enviado mediante una campaña de spam masiva que pudiera afectar a cualquier usuario y tampoco ha aparecido en las direcciones de correo electrónico utilizadas por los fabricantes de antivirus para atraer y atrapar el malware, sino que ha sido dirigido sólo contra unos pocos usuarios”, afirma Catalin Cosoi, Chief Security Researcher de Bitdefender. “Ya hemos visto en los últimos meses varios ataques contra el gobierno de los EE.UU. procedentes de China, incluyendo notorios ataques de phishing masivo contra funcionarios de Estados Unidos y Taiwán”.
