Si forma parte del personal de cualquier embajada de la India en todo el mundo, debe tener cuidado al navegar por Internet después del descubrimiento de una nueva familia de malware llamada TidePool que los investigadores de seguridad de Palo Alto Networks creen que es un producto evolutivo de la antigua Operación Ke3chang.
Por el momento, es difícil concluir con firmeza que TidePool es un descendiente directo de la Operación Ke3chang, pero los investigadores han encontrado evidencia clave que apunta a la relación de TidePool con Ke3chang en función del comportamiento del malware. Un indicio particular de que Ke3chang está vinculado a TidePool es el objetivo: Ke3chang se utilizó anteriormente para lanzar un ataque cibernético contra el Ministerio de Asuntos de la India después de ataques aún recientes contra el gobierno de la nación.
Según Palo Alto Networks, los atacantes detrás de TidePool han estado utilizando campañas de correo electrónico de spear phishing para atacar varias embajadas de India en todo el mundo. Los correos electrónicos pretenden contener un informe anual presentado por los empleados en más de 30 embajadas de la India de diferentes países.
Los atacantes también utilizan direcciones de correo electrónico que parecen pertenecer a personas legítimas que tienen conexiones con las embajadas de la India para que los correos electrónicos de spear phishing parezcan auténticos como si hubieran sido enviados por fuentes legítimas. Una vez que los destinatarios de la embajada india perciben que un correo electrónico es legítimo, es más probable que abran el mensaje en lugar de ignorarlo.
Los investigadores de Palo Alto Networks también informaron que los atacantes se están aprovechando de un nuevo agujero en la ejecución de sus ataques utilizando TidePool. La nueva vulnerabilidad permite un par de cambios en el registro de una computadora y un aumento en el tráfico de comando y control de una red debido a lo que los investigadores dicen como una evolución en la base de código de Ke3chang en TidePool.
La vulnerabilidad Ke3chang vio la luz en septiembre de 2015 que también contenía documentos maliciosos. Pero a diferencia de Ke3chang, el documento portador de exploits de TidePool se envía como un documento MHTML que viene en forma de un archivo de Microsoft Word. La familia de malware TidePool está diseñada para permitir a los atacantes atravesar el firewall y ver y cambiar archivos y carpetas.
TidePool también procede a robar información perteneciente a la computadora y transmite los datos a un servidor de comando y control remoto a través de una conexión que está estrechamente ligada a una familia de malware empleada por los autores del malware Ke3chang.
Lo más sorprendente de este malware es que parece que la mayoría de los proveedores de seguridad le prestan poca atención, excepto Palo Alto Networks, por supuesto. Ahora que parece ser persistente en sus ataques, es hora de que los departamentos de TI den la alarma.
