Carbanak está usando los servicios de Google como mando y control
Carbanak es uno de los grupos de cibercriminales más destacados de los últimos tiempos contra entidades financieras. Se estima que ha robado a unos 100 bancos en todo el mundo, pudiendo acumular una fortuna de hasta mil millones de dólares.
La habilidad de este grupo de ciberdelincuentes hace que utilicen servicios muy comunes para llevar a cabo sus ataques. Forcepoint ha averiguado a través de una investigación la existencia de una campaña activa que se está apoyando en ficheros RTF adjuntados a mensajes de phishing, pero lo más sorprendente es el uso de los servicios de Google como mando y control.
Forcepoint recalca que no sabe cuantos canales de mando y control ha abierto Carbanak en los servicios de Google, aunque ya ha reportado el problema a la compañía de Mountain View. Sin embargo, ha explicado que esta forma de proceder puede dar a los ciberdelincuentes más posibilidades de éxito que utilizando dominios recién creados o con mala reputación.
El fichero RTF empleado por Carbanak incluye un objeto OLE que contiene un script de Visual Basic (VBscript). Con el fin de engañar a sus víctimas emplea ingeniería social haciendo que hagan clic sobre una imagen para “desbloquear contenidos”. Si la víctima hace doble clic en la imagen que oculta el objeto OLE será preguntada por la ejecución de un fichero llamado unprotectected.vbe, que es en realidad el malware de Carbanak dedicado a llevar a cabo las acciones maliciosas, además de recibir y enviar órdenes de los servicios Google Apps Script, Google Sheets y Google Forms.
Los investigadores también han descubierto un nuevo módulo de script cifrado ‘ggldr’ dentro del fichero VBscript principal y junto a otros módulos de VBscript. Se cree que podría estar siendo usado para interaccionar con los servicios de Google.
El articulo fue originalmente publicado en: Muyseguridad.net