Xtreme RAT malware apunta a EE. UU., Reino Unido, otros gobiernos

El grupo de hackers que recientemente infectó las computadoras de la policía israelí con el malware Xtreme RAT también se dirigió a instituciones gubernamentales de los EE. UU. otros países, de acuerdo con los investigadores del proveedor de antivirus Trend Micro.

Los atacantes enviaron mensajes maliciosos con un archivo adjunto.RAR a direcciones de correo electrónico dentro de las agencias gubernamentales específicas. El archivo contenía un ejecutable malicioso enmascarado como un documento de Word que, cuando se ejecutaba, instalaba el malware Xtreme RAT y abría un documento señuelo con un informe de noticias sobre un ataque con misiles palestino.

El ataque salió a la luz a fines de octubre cuando la policía israelí cerró su red de computadoras para limpiar el malware de sus sistemas. Al igual que la mayoría de los programas de acceso remoto (RAT), Xtreme RAT les permite a los atacantes controlar la máquina infectada y les permite cargar documentos y otros archivos en sus servidores.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Después de analizar muestras de malware utilizadas en el ataque policial israelí, los investigadores de seguridad del proveedor noruego de antivirus Norman descubrieron una serie de ataques más antiguos desde principios de este año y finales de 2011 dirigidos a organizaciones en Israel y los territorios palestinos. Sus hallazgos describen el panorama de una operación de ciberespionaje de un año realizada por el mismo grupo de atacantes en la región.

Sin embargo, según los nuevos datos descubiertos por los investigadores de Trend Micro, el alcance de la campaña parece ser mucho mayor.

"Descubrimos dos correos electrónicos enviados desde {BLOCKED}[email protected] el 11 y el 8 de noviembre que apuntaban principalmente al Gobierno de Israel", dijo el investigador principal de amenazas de Trend Micro, Nart Villeneuve, en una publicación de blog a principios de esta semana. "Uno de los correos electrónicos se envió a 294 direcciones de correo electrónico."

"Si bien la gran mayoría de los correos electrónicos se enviaron al Gobierno de Israel en 'mfa.gov.il' [Ministerio de Asuntos Exteriores de Israel], 'idf. gov.il '[Fuerzas de Defensa de Israel], y' mod.gov.il '[Ministerio de Defensa de Israel], una cantidad significativa también fue enviada al Gobierno de los EE. UU. en las direcciones de correo electrónico' state.gov '[Departamento de Estado de Estados Unidos], "Dijo Villeneuve. "Otros objetivos del gobierno de EE. UU. También incluyeron las direcciones de correo electrónico 'senate.gov' [Senado de EE. UU.] Y 'house.gov'. El correo electrónico también se envió al correo electrónico 'usaid.gov' [Agencia de los Estados Unidos para el Desarrollo Internacional] direcciones. "

La lista de objetivos también incluía las direcciones de correo electrónico 'fco.gov.uk' (Oficina Británica de Asuntos Exteriores y de la Mancomunidad Británica) y 'mfa.gov.tr' (Ministerio de Asuntos Exteriores de Turquía), así como direcciones del gobierno instituciones en Eslovenia, Macedonia, Nueva Zelanda y Letonia, dijo el investigador. Algunas organizaciones no gubernamentales como la BBC y la Oficina del Representante del Cuarteto también fueron blanco.

Motivaciones poco claras

Los investigadores de Trend Micro usaron metadatos de los documentos señuelo para rastrear a algunos de sus autores a un foro en línea. Uno de ellos usó el alias "aert" para hablar sobre varias aplicaciones de malware, incluyendo DarkComet y Xtreme RAT, o para intercambiar bienes y servicios con otros miembros del foro, dijo Villeneuve.

Sin embargo, las motivaciones de los atacantes siguen sin estar claras. Si, después del informe Norman, se podría haber especulado que los atacantes tienen una agenda política vinculada a Israel y los territorios palestinos, después de los últimos hallazgos de Trend Micro. es más difícil adivinar qué los impulsa.

"Sus motivos no están claros en este momento después de descubrir este último desarrollo de otras organizaciones estatales", dijo Ivan Macalintal, investigador principal de amenazas y evangelista de seguridad de Trend Micro, el viernes por correo electrónico.

Trend Micro no ha tomado el control de los servidores de comando y control utilizados por los atacantes para determinar qué datos se están robando de las computadoras infectadas, dijo el investigador, agregando que no hay planes para hacerlo en este momento.

Las compañías de seguridad a veces trabajan con proveedores de dominio para señalar los nombres de dominio de C & C utilizados por los atacantes a direcciones IP bajo su control. Este proceso se conoce como "sumidero" y se usa para determinar cuántas computadoras se infectaron con una amenaza en particular y qué tipo de información están enviando esas computadoras a los servidores de control.

"Nos hemos contactado y estamos trabajando con la CERTs [equipos de respuesta a emergencias informáticas] para los estados afectados en particular y veremos si efectivamente se produjo algún daño ", dijo Macalintal. "Todavía estamos monitoreando activamente la campaña desde ahora y publicaremos las actualizaciones en consecuencia".