Tu antivirus cree que todo está bien, pero los hackers mueven tu ratón sin que lo notes
Detectan en India una operación de espionaje a gran escala que utiliza el malware Blackmoon
Notificaciones falsificadas en nombre del Departamento de Impuestos de la India sirvieron de tapadera para una campaña maliciosa que descarga en los dispositivos de las víctimas el troyano bancario Blackmoon. El ataque afecta a usuarios indios y está dirigido a la instalación oculta de una herramienta de acceso remoto multinivel, supuestamente como parte de una operación de espionaje.
Según el equipo de eSentire, la distribución se realiza mediante correos electrónicos que notifican impuestos impagados. Los destinatarios de esos mensajes reciben un archivo comprimido con archivos maliciosos, disfrazado de documentos relacionados con una auditoría. De los cinco objetos adjuntos, el usuario solo ve uno: un ejecutable llamado «Inspection Document Review.exe». Este se usa para ejecutar una DLL maliciosa incluida en el archivo. Esa biblioteca comprueba la presencia de depuradores y se conecta a un servidor externo para descargar la siguiente etapa del programa malicioso.
El siguiente componente elude la protección del Control de cuentas de usuario (UAC) para obtener privilegios de administrador. Luego se hace pasar por el proceso legítimo de Windows «explorer.exe», lo que le permite pasar desapercibido. Durante la ejecución posterior se descarga un instalador llamado «180.exe» desde un dominio chino. Su comportamiento varía según si en la máquina infectada está activo el antivirus Avast.
Si el sistema detecta que el antivirus está funcionando, el código malicioso comienza a simular movimientos del ratón para añadir manualmente los archivos infectados a la lista de exclusiones de Avast. De ese modo la actividad maliciosa se mantiene sin activar los mecanismos de defensa. En el proceso se emplea una DLL que los analistas consideran una variante del troyano Blackmoon. Este código malicioso se detectó por primera vez en 2015 y anteriormente se usó contra empresas en Corea del Sur, Estados Unidos y Canadá.
Entre los ejecutables añadidos al sistema se encuentra un programa «Setup.exe» de la empresa SyncFutureTec. Este inicia el componente «mysetup.exe» que, según los analistas, es el software legítimo SyncFuture TSM. Esta herramienta fue desarrollada por una empresa china y está diseñada para la supervisión y gestión remota corporativa.
Al suplantar la funcionalidad del software legítimo, los atacantes obtienen control total sobre el dispositivo infectado: desde vigilar las acciones del usuario hasta enviar los datos recopilados a servidores remotos. Además, en el sistema se crean carpetas de usuario con permisos especiales, se modifican las configuraciones de seguridad de las carpetas del escritorio y se inician procesos de limpieza y registro de eventos.
Para concluir, los especialistas destacan que el esquema empleado es de alta complejidad. Combina mecanismos para eludir antivirus, la elevación de privilegios, la descarga de DLL maliciosas y el uso de una herramienta legítima para espionaje. Todo ello indica un alto nivel de preparación y una clara comprensión del objetivo por parte de los organizadores del ataque.