Más peligroso todavía: Cloud Atlas avanza hacia el ‘malware’ polimórfico

La amenaza persistente avanzada Cloud Atlas o Inception, que carga sobre sus espaldas una larga trayectoria en ciberespionaje, ha actualizado sus herramientas de ataque para evadir la detección de los conocidos como Indicadores de Compromiso estándares.

Así lo advierte Kaspersky, cuyo investigador de seguridad del Equipo de Análisis e Investigación Global, Felix Aime, explica que “se ha establecido como una buena práctica en la comunidad de ciberseguridad compartir los Indicadores de Compromiso”, abreviados como IoC, “de las operaciones maliciosas que identificamos en nuestras investigaciones. Esta práctica nos permite responder con rapidez a las operaciones internacionales de ciberespionaje actualmente en marcha y evitar que estas generen daños mayores”.

“Sin embargo”, añade, “tal y como preveíamos ya en 2016, IoC se ha vuelto obsoleto como herramienta fiable para detectar un ataque dirigido en la red. El primero fue ProjectSauron, que creaba una serie IoC única para cada víctima y continuó con la tendencia de utilizar herramientas de fuente abierta en operaciones de ciberespionaje en vez de herramientas a medida. Esta tendencia ahora continua con este ejemplo reciente de malware polimórfico”, dice en referencia al nuevo Cloud Atlas.

Y, aunque “esto no significa que sea más difícil atrapar a los actores”, sí es cierto que “las habilidades de ciberseguridad y el kit de herramientas de los defensores tienen que evolucionar en paralelo al kit de herramientas y las habilidades de los actores maliciosos que persiguen”.

Además, los expertos en seguridad recomiendan usar soluciones de seguridad para endpoints con antispam, antiphishing y control de aplicaciones con denegación por defecto, así como programas capaces de detectar malware desconocido y amenazas avanzadas en fases iniciales. También habría que aplicar inteligencia de amenazas en servicios SIEM. Y, por supuesto, formar a los empleados en seguridad.

Cloud Atlas era conocido por enviar un correo de spear phishing con un adjunto malicioso que incorporaba el malware PowerShower. La cadena de infección actualizada retrasa la ejecución de PowerShower, según desvela Kaspersky. Tras la infección inicial, una aplicación HTML se descarga y ejecuta en el dispositivo recopilando primero información inicial y activando después el módulo malicioso VBShower, que elimina el rastro del malware y hace consultas a servidores de comando y control para seguir actuando. Dependiendo del comando recibido, se ejecutará PowerShower u otra puerta trasera.

Tanto la aplicación HTML maliciosa como módulo VBShower son polimórficos. El código será único en cada caso. De momento, la nueva cadena de infección actualizada ya ha disparado contra organizaciones de Europa y Asia.