Las amenazas cibernéticas son cada día más complejas y peligrosas. El avance de la tecnología también se traduce en una mayor organización y despliegue de los cibercriminales. G Data ha desvelado un nuevo ataque a gran escala que ha bautizado con el nombre de «Operación Toohash». El modus operandi es sencillo. Los criminales envían currículums falsos a empresas y organizaciones públicas que contienen dos programas maliciosos diferentes, y que se aprovechan de una vulnerabilidad antigua en Word. Aquellos departamentos de recursos humanos que no hayan actualizado el software sirven como puerta de entrada para los criminales, que pasan a tomar el control absoluto del equipo infectado. Desde ahí, se despliegan los medios para espiar a la organización atacada. Hasta ahora, este ataque se ha encontrado en empresas taiwanesas pero también podría haberse dirigido contra entidades de la China continental. Te contamos todos los detalles.
La Operación TooHash utiliza una dinámica que ya se ha vuelto en bastante habitual a la hora de atacar a las empresas. Los cibercriminales utilizan el departamento de recursos humanos de la organización, uno de los eslabones débiles por los que suele circular una gran cantidad de información (y donde establecer barreras de seguridad resulta más complejo). Para ello, envían currículos falsos en formato DOC que contienen dos programas maliciosos. Según G Data, los ataques son dirigidos y el propio aspecto del currículo se cuida para que parezca auténtico. Pero en realidad, estos documentos falsos se intentan aprovechar de una vulnerabilidad en Office que permite tomar el control absoluto del equipo infectado.
Claro que este agujero se ha solucionado desde hace tiempo, pero existen muchas empresas en las que todavía no se ha llevado a cabo la actualización de esta suite por diversos motivos. La dificultad de llevar a cabo esta tarea cuando son muchos los ordenadores involucrados, la compatibilidad con otras aplicaciones, poca conciencia frente a los peligros… Una vez dentro de la máquina, las dos amenazas envían un mensaje a través de la red a los cibercriminales confirmando que el ataque ha tenido éxito, y el ordenador infectado pasa a ser controlado por ellos.
El uso de dos programas maliciosos diferentes es un recurso para evitar que el ataque sea detenido a pesar de que se descubra uno de los programas. Estos ataques se han dirigido ya tanto a empresas privadas como a organizaciones públicas e incluso organizaciones de investigación espacial, y tienen como principal función el robo de información sensible de la entidad atacada. Además, uno de los aspectos que ha querido remarcar G Data es la dimensión de esta red criminal, ya que se han identificado más de 75 servidores de control diferentes tanto en Hong Kong como en Estados Unidos. Esta cifra da una idea del potencial con el que cuenta esta red, que por el momento ha centrado sus ataques en Taiwán, aunque no se descarta que también pudiera haber empezado sus ataques en el continente chino (se ha encontrado parte de la redacción en chino simplificado). Las soluciones de G Data identifican y protegen de estos troyanos utilizados por la Operación TooHash.