Sería prudente no visitar sitios web japoneses en la actualidad, ya que los investigadores de seguridad de Symantec descubrieron un ataque persistente de spear phishing perpetrado por un grupo de piratas informáticos que se hacen llamar Tick.
Utilizando un malware a medida llamado Daserf, los piratas informáticos parecían haber comenzado sus operaciones hace más de una década, pero han mantenido su perfil oculto a la mayoría de los proveedores de seguridad, de ahí el ataque de larga data que Symantec clasificó en la categoría de ciberespionaje. Las víctimas incluyen los sectores de tecnología, ingeniería acuática y medios de comunicación del país.
¿Cómo logró el grupo golpear a sus víctimas? Según los investigadores de Symantec, Tick se propuso enviar correos electrónicos de suplantación de identidad que contienen enlaces dañinos y archivos adjuntos destinados a ampliar el número de sus víctimas. También se dice que el grupo emplea una variedad de herramientas diseñadas para espiar la red de una organización víctima y expandir su acceso a través de tácticas de escalada de privilegios.
El objetivo es robar información de las máquinas comprometidas y un troyano que viene con el ataque funciona para transmitir datos robados al servidor de comando y control administrado por el grupo Tick. El malware Daserf intentaría abrir un acceso de puerta trasera para que los atacantes infecten la red de la organización objetivo a través de una conexión remota a los servidores controlados por piratas informáticos.
Una vez instalado en una máquina, el malware crearía un directorio de instalación donde los piratas informáticos desplegarían varias herramientas de piratería como Mimikatz, GSecdump y Windows Credential Editor para escalar sus privilegios más profundamente en la red. Según los resultados de una investigación forense realizada por Symantec, los atacantes han logrado robar datos cruciales en forma de presentaciones en PowerPoint de varias organizaciones en Japón.
Como la mayoría de las amenazas persistentes avanzadas, el troyano Daserf ha mantenido un perfil bajo para evitar que las herramientas antivirus detecten sus operaciones. Funciona para proteger la información robada en archivos .rar protegidos por contraseñas y emplea nombres de archivo que toman prestada su apariencia legítima de programas existentes instalados en computadoras con Windows como Intel, Adobe y otros registros de archivos.
Symantec dijo que ha estado tratando de determinar los dominios de comando y control utilizados por Tick para propagar el malware. Pero debido a que los piratas informáticos emplean a menudo agentes de dominio, la información de registro de esos dominios no se puede identificar. El malware examinado por los investigadores de seguridad no parece estar firmado digitalmente, aunque algunos se firmaron con un certificado digital robado.
Tick parece obtener fondos suficientes para mejorar sus capacidades de realizar ciberespionaje, por lo que es un grupo bien organizado o patrocinado por el estado.
