Protéjase contra los piratas informáticos que usan micrófonos de PC para robar datos

La piratería a gran escala con tácticas, técnicas y procedimientos sofisticados están a la orden del día, como también se vio en informes sobre el presunto hack ruso durante las elecciones estadounidenses, y ahora los piratas informáticos están utilizando micrófonos de PC incorporados para introducirse en las empresas y archivos de datos personales.

Bautizados como 'Operación BugDrop', los piratas informáticos detrás del ataque han asegurado decenas de gigabytes de datos confidenciales de unas 70 organizaciones e individuos en Ucrania.

Estos incluyen editores de varios periódicos ucranianos, un instituto de investigación científica, organizaciones asociadas con la vigilancia de los derechos humanos, la lucha contra el terrorismo, los ataques cibernéticos, el suministro de petróleo, gas y agua, en Rusia, Arabia Saudita, Ucrania y Austria.

Según un informe de la empresa de seguridad cibernética CyberX, "la operación busca capturar una variedad de información confidencial de sus objetivos, incluidas grabaciones de audio de conversaciones, capturas de pantalla, documentos y contraseñas".

Los hackers han comenzado a usar micrófonos como una forma de acceder a los datos de destino porque, si bien es fácil bloquear las grabaciones de video simplemente colocando una cinta sobre la cámara web, deshabilitar el micrófono de su sistema requiere que desconecte el hardware físicamente.

Muchos de estos ataques se llevaron a cabo en los estados separatistas autodeclarados de Donetsk y Lugansk, lo que indica una influencia gubernamental en estos ataques, especialmente porque estos dos estados han sido clasificados como equipos terroristas por el gobierno de Ucrania.

Los piratas informáticos usan Dropbox para el robo de datos, ya que el tráfico del servicio en la nube generalmente permanece desbloqueado por los firewalls corporativos y el tráfico que fluye a través de él no se controla también.

“La Operación BugDrop infecta a sus víctimas mediante ataques de phishing por correo electrónico y macros maliciosos incrustados en archivos adjuntos de Microsoft Office. También utiliza una ingeniosa ingeniería social para engañar a los usuarios para que habiliten macros si aún no están habilitados ”, afirma CyberX.

Un ejemplo de cómo funciona el ataque de virus de macro

Tomando el caso en cuestión, CyberX descubrió este documento malicioso de Word que estaba cargado con el virus Macro, que generalmente no es detectado por más del 90 por ciento del software antivirus en el mercado.

Hasta que las macros, brevemente: bits de códigos de computadora, estén habilitados en su PC, el programa se ejecuta automáticamente y reemplaza los códigos en su PC con códigos maliciosos.

En caso de que las macros estén deshabilitadas en la PC de destino, una característica de seguridad de Microsoft que deshabilita de manera predeterminada todos los códigos de macro en un documento de Word, el documento malicioso de Word abre un cuadro de diálogo como se muestra en la imagen de arriba.

El texto en la imagen de arriba dice: “¡Atención! El archivo se creó en una versión más reciente de los programas de Microsoft Office. Debe habilitar las macros para mostrar correctamente el contenido de un documento ".

Tan pronto como un usuario habilita el comando, los códigos de macro maliciosos reemplazan los códigos en su PC, infectan otros archivos en el sistema y dan acceso remoto al atacante, como se ve en el caso en cuestión.

Cómo y qué información recopilaron los hackers

Los hackers, en este caso, utilizaron una variedad de complementos para robar datos después de obtener acceso remoto a los dispositivos de destino.

Los complementos incluían el recopilador de archivos, que busca multitud de extensiones de archivos y los carga en Dropbox; Recopilador de archivos USB, que localiza y almacena archivos desde una unidad USB conectada en el dispositivo infectado.

Además de estos recopiladores de archivos, se utilizó en el ataque el complemento de recopilación de datos del navegador que roba las credenciales de inicio de sesión y otros datos confidenciales almacenados en el navegador, un complemento para recopilar datos de la computadora, incluida la dirección IP, el nombre y la dirección del propietario, y más.

Además de todo esto, el malware también dio a los piratas informáticos acceso al micrófono del dispositivo de destino, lo que permite grabaciones de audio, guardadas para su lectura en el almacenamiento de Dropbox del atacante.

Si bien no se ha hecho daño a los objetivos en la Operación BugDrop, CyberX señala que "identificar, localizar y realizar el reconocimiento en los objetivos suele ser la primera fase de las operaciones con objetivos más amplios".

Una vez que estos detalles se recopilan y cargan en la cuenta de Dropbox del atacante, se descargan en el otro extremo y se eliminan de la nube, sin dejar rastro de la información de la transacción.

Obtenga información detallada sobre el hack en el informe de CyberX aquí.

¿Cómo protegerse contra tales ataques?

Si bien la forma más simple de protegerlo de los ataques de virus de macro es no desactivar la configuración predeterminada de Microsoft Office para los comandos de Macro y no ceder a las solicitudes mediante indicaciones (como se discutió anteriormente).

Si existe una gran necesidad de habilitar la configuración de macros, asegúrese de que el documento de Word provenga de una fuente confiable: una persona o una organización.

A nivel organizacional, para defenderse de tales ataques, los sistemas deben ser utilizados para detectar anomalías en sus redes de TI y OT en una etapa temprana. Las empresas también pueden implicar algoritmos de análisis de comportamiento que ayudan a detectar actividades no autorizadas en la red.

También debe existir un plan de acción para defenderse contra dicho virus, para evitar el peligro y evitar la pérdida de datos confidenciales si se ejecuta un ataque.

El informe concluyó que si bien no hay pruebas sólidas de que los piratas informáticos fueron contratados por una agencia gubernamental.

Pero dada la sofisticación del ataque, no hay duda de que los piratas informáticos necesitaban un personal significativo para revisar los datos robados, así como el espacio de almacenamiento para todos los datos recopilados, lo que indica que eran muy ricos o recibieron el respaldo financiero de un gobierno o Institución no gubernamental.

Si bien la mayoría de estos ataques se llevaron a cabo en Ucrania, es seguro decir que estos ataques pueden llevarse a cabo en cualquier país dependiendo de los intereses creados de los piratas informáticos o de las personas que los contratan para obtener acceso a datos confidenciales.