La compañía dedicada a la detección proactiva de amenazas cibernéticas ESET presentó su investigación “Operation In(ter)ception”, sobre ataques que apuntaron a compañías aeroespaciales y militares mediante engaños no convencionales y malware multietapa personalizado.

A fines del año pasado, investigadores de ESET, compañía líder en detección proactiva de amenazas, descubrieron que entre septiembre y diciembre del 2019 se llevaron a cabo de manera activa ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente.

El objetivo principal de la operación era el espionaje, y en uno de los casos se intentó monetizar el acceso a la cuenta de correo de una de sus víctimas a través de un ataque conocido como BEC (del inglés Business Email Compromise). 

La investigación denominada “Operación In(ter)ception” contó con la colaboración de dos de las compañías europeas afectadas, lo que permitió obtener información sobre las técnicas utilizadas y descubrir malware previamente indocumentado. Para comprometer a sus objetivos, los atacantes utilizaron ingeniería social a través de LinkedIn para publicar ofertas de trabajo atractivas, pero falsas.

Los archivos maliciosos se enviaron directamente a través de mensajes de LinkedIn o por correos electrónicos que contenían un enlace de OneDrive. Para la última opción, los atacantes crearon cuentas de correo electrónico correspondientes a sus falsos perfiles de LinkedIn.

Una vez que el destinatario abría el archivo, se mostraba un documento PDF con información salarial relacionada con la falsa oferta de trabajo. Mientras tanto, el malware se implementa silenciosamente en la computadora de la víctima. De esta manera, los atacantes establecieron un punto de apoyo inicial y alcanzaron una persistencia sólida en el sistema.

Además del espionaje, los investigadores de ESET encontraron evidencia de que los atacantes intentaron usar las cuentas comprometidas para extraer dinero de compañías que interactúan con sus víctimas. Entre los correos electrónicos, encontraron comunicación entre la víctima y un cliente con respecto a una factura no resuelta. Los atacantes siguieron la conversación e instaron al cliente a pagar la factura a una cuenta bancaria propia.