A comienzos del pasado año nos hicimos eco de la existencia de un virus que llevaba más de 5 años robando datos de los usuarios y que formaba parte de una de las mayores tramas de espionaje. Bautizado por aquel entonces como Octubre rojo, también daba nombre a dicha campaña. Después de poner punto y final a esta a mediados de ese año, nuevamente se ha vuelto a relanzar con la incorporación de un nuevo rootkit y actuando de forma agresiva contra los usuarios de dispositivos móviles.
Investigadores de la empresa de seguridad Kaspersky han investigando esta actividad desde finales del mes de agosto, creyendo que se había vuelto a la actividad casi un año después de que esta cesara. Sin lugar a dudas, la oportunidad para los responsables de esta trama pasaba por actuar con los usuarios desprevenidos y que esta no saliese a la luz. Sin embargo, una vez que se difundió entre los medios pronto cesó su actividad, hasta este año que se ha vuelto a detectar. Reino Unido, Rusia, Estados Unidos, Bélgica, Francia o Alemania son solo algunos de los países que se han visto afectados, aunque hay que añadir que la inmensa mayoría restante pertenece a la Europa del Este.
Cloud Atlas es el nombre del malware utilizado para este ataque y se encuentra alojado en un servidor de la compañía CloudMe, la cual ofrece servicios de hosting para empresas y usuarios particulares. Los investigadores han detectado que este se distribuye en un fichero .doc infectado con un VBS. A diferencia de otras versiones, han detectado que el malware se instala de forma permanente en el sistema y utiliza el cifrado para evitar ser detectado. También modifica variables del registro del sistema para que al producirse el arranque del sistema operativo la puerta trasera esté disponible desde un primer momento.
Sin embargo, los sistemas de escritorio no son las únicas víctimas en esta nueva campaña de espionaje.
Android, iOS o Blackberry poseen una tasa muy alta de infección en Octubre rojo
A diferencia de la ocasión anterior, los usuarios de dispositivos móviles son los que más afectados se están viendo. Todos los sistemas operativos móviles se han visto afectados de alguna manera, y solo Windows Phone ha salido más o menos indemne, en parte también a una baja cuota de mercado.
Todos los sistemas tienen en común la vía de infección, utilizándose el correo electrónico como tal. Incluso se han llegado a detectar casos en los que se recurría a los MMS para infectar los equipos de los usuarios. En ambas opciones se proporcionaba un enlace a la descarga de un fichero que servía para realizar la instalación del malware y la puerta trasera.
Entre el botín de los ciberdelincuentes destacan miles de conversaciones telefónicas grabadas, ubicaciones, fotografías, conversaciones llevadas a cabo en diferentes servicios, redes WiFi y así hasta una larga lista de datos. Includo los contactos de la libreta del terminal se utilizaban para extender la amenaza a más usuarios.
Campaña suspendida temporalmente
Tal y como ya hemos mencionado con anterioridad, en la anterior ocasión cuando se descubrió la trama se llevo a cabo el cese de la actividad. Ahora, en primer lugar ha sido en primer lugar han sido los propios responsables del hosting los que han procedido a eliminar el contenido y bloquear las cuentas asociadas, obligando a los ciberdelincuentes a suspender la campaña hasta confeccionar una nueva infraestructura.
Fuente | Softpedia