Gaza Cybergang actualiza su arsenal con exploits y, posiblemente, con software espía para Android
El grupo de hackers conocido como Gaza Cybergang lleva al menos desde el año 2012 atacando embajadas gubernamentales, diplomáticos y políticos, así como empresas petroleras, empresas gasísticas y medios de comunicación en la región de Oriente Medio y Norte de África, MENA.
En 2015, los analistas de Kaspersky Lab informaron sobre la actividad del grupo después de ver un cambio significativo en sus operaciones maliciosas. En esta ocasión se ha detectado que los atacantes se dirigían contra equipos TI y de respuesta a incidentes, en un intento de obtener acceso a herramientas legítimas de evaluación de seguridad y disminuir significativamente la visibilidad de su actividad en las redes atacadas. En 2017, los analistas de Kaspersky Lab han podido observar otro significativo aumento de la actividad cibercriminal del grupo.
Los objetivos personales y geográficos permanecen sin cambios en estos nuevos ataques, pero el tamaño de las operaciones de Gaza Cybergang ha aumentado. Se ha descubierto al grupo buscando cualquier tipo de información. Y lo más importante: las herramientas de ataque utilizadas se han vuelto más sofisticadas, ya que han elaborado documentos que incluyen temas geopolíticos específicos de la región, para distribuir el malware a sus objetivos de forma personalizada, y utilizando exploits con una vulnerabilidad relativamente reciente, CVE 2017-0199 en Microsoft Access, y hasta en algunas ocasiones incluso spyware para Android.
Los cibercriminales realizan sus actividades enviando correos electrónicos que contienen varios RAT (troyanos de acceso remoto) en documentos de oficina falsos, o URLs redirigiendo a páginas maliciosas. Cuando se ejecutan, la víctima queda infectada con malware que permite recopilar archivos, pulsaciones de teclas y capturas de pantalla de los dispositivos de la víctima. Si la víctima detecta el malware inicialmente descargado, el descargador intenta instalar otros archivos en el dispositivo en un intento de evitar el bloqueo.
Análisis posteriores realizados por Kaspersky Lab sugieren el uso potencial de malware móvil por parte del grupo cibercriminal. Algunos de los nombres de archivo encontrados parecen estar relacionados con un troyano de Android. Estas mejoras en las técnicas de ataque han permitido que el grupo Gaza Cybergang evitara las soluciones de seguridad y manipulara el sistema de la víctima durante largos períodos.
Para evitar ser víctimas de un ataque de este tipo, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:
• Formar al personal para que pueda distinguir los correos electrónicos de spearphishing o un enlace de phishing de aquellos correos electrónicos y enlaces legítimos;
• Utilizar una solución corporativa de seguridad endpoint en combinación con una protección especializada contra amenazas avanzadas;
• Ofrecer al personal de seguridad TI acceso a los últimos datos e información sobre ciberamenazas, a través de soluciones de análisis, investigación y prevención de ataques específicos, como los Indicadores de compromiso (IOC) y YARA.
