Detectado spyware que roba datos a través de los departamentos de Recursos Humanos

Expertos de la compañía de seguridad G DATA han descubierto una campaña de ciberespionaje dirigida a empresas chinas.

Conocida con el nombre de Operación TooHash, se trata de ciberataque cuyo objetivo es robar información sensible de las organizaciones atacadas mediante «spear-phishing», un tipo de phishing no masivo que busca infiltrarse en las organizaciones a través de los departamentos de recursos humanos.

El objetivo eran sus bases de datos, planes de negocio, datos de clientes, correos electrónicos o cualquier información almacenada en sus servidores. Y es que no es difícil encontrar a alguien que quiera comprarlos. Competidores o incluso servicios de inteligencia pueden pagar por ellos sin demasiados escrúpulos.

El ciberataque utilizaba correos electrónicos cuyos adjuntos infectados (en este caso currículums vitae en documentos de Microsoft Office) se hacían llegar a los correspondientes departamentos de RR.HH. de las organizaciones víctimas.

Tal y como explican desde G DATA, el malware en los archivos adjuntos aprovecha una vulnerabilidad ya conocida de Microsoft Office y descarga una herramienta de acceso remoto (RAT) en el ordenador atacado.

En concreto, en esta campaña han sido identificados dos tipos diferentes de malware, pero en ambos casos con componentes que permiten el ciberespionaje y el robo de datos. El spyware detectado es Win32.Trojan.Cohhoc.A y Win32.Trojan.DirectsX.A.

En el desarrollo de la investigación, los expertos de G DATA SecurityLabs han localizado más de 75 servidores de comando y control destinados a la administración de los ordenadores infectados, ubicados en Hong Kong y EE.UU y cuyas consolas de administración combinaban el inglés y el chino.