Una reciente investigación ha revelado una sofisticada campaña de ciberespionaje que emplea Google Sheets como herramienta de comando y control para malware personalizado. Esta técnica innovadora permite a los ciberatacantes comunicarse discretamente con el malware, utilizando la infraestructura legítima de Google para evadir la detección. Los atacantes han diseñado un sistema en el que el malware se conecta a Google Sheets para recibir instrucciones y enviar datos, aprovechando el tráfico aparentemente normal hacia los servidores de Google.
La actividad, detectada por Proofpoint a partir del 5 de agosto de 2024, se hace pasar por autoridades fiscales de gobiernos de Europa, Asia y Estados Unidos, con el objetivo de atacar a más de 70 organizaciones de todo el mundo mediante una herramienta a medida llamada Voldemort que está equipada para recopilar información y entregar cargas útiles adicionales.
Funcionamiento del Ataque
Esta campaña de ciberespionaje no se ha atribuido a un agente de amenazas concreto. Se han enviado hasta 20.000 mensajes de correo electrónico como parte de los ataques.
Los ciberatacantes configuran hojas de cálculo en Google Sheets, a las que el malware se conecta periódicamente para recibir nuevas órdenes o enviar información robada. Al utilizar Google Sheets, el tráfico de red generado por el malware se camufla entre el flujo de datos legítimos que muchas organizaciones no bloquean. Esta táctica no solo dificulta la detección por parte de sistemas de seguridad tradicionales, sino que también complica el rastreo del origen del ataque, ya que las solicitudes parecen legítimas y proceden de un servicio confiable.
Estos correos electrónicos dicen provenir de las autoridades fiscales de Estados Unidos, Reino Unido, Francia, Alemania, Italia, India y Japón, alertando a los destinatarios sobre cambios en sus declaraciones de impuestos e instándoles a hacer clic en las URL de Google AMP Cache que redirigen a los usuarios a una página de destino intermedia.
Lo que hace la página es inspeccionar la cadena User-Agent para determinar si el sistema operativo es Windows y, en caso afirmativo, aprovechar el controlador de protocolo search-ms: URI protocol handler para mostrar un archivo de acceso directo de Windows (LNK) que utiliza un Adobe Acrobat Reader para hacerse pasar por un archivo PDF en un intento de engañar a la víctima para que lo ejecute.
«Si se ejecuta el LNK, invocará PowerShell para ejecutar Python.exe desde un tercer recurso compartido WebDAV en el mismo túnel (\library), pasando un script de Python en un cuarto recurso compartido (\resource) en el mismo host como argumento. Esto hace que Python ejecute el script sin descargar ningún archivo en el ordenador, con las dependencias que se cargan directamente desde el recurso compartido WebDAV». Comentan los investigadores de Proofpoint Tommy Madjar, Pim Trouerbach y Selena Larson.
El script de Python está diseñado para recopilar información del sistema y enviar los datos en forma de cadena codificada en Base64 a un dominio controlado por el actor, tras lo cual muestra un PDF señuelo al usuario y descarga un archivo ZIP protegido por contraseña desde OpenDrive.
El archivo ZIP, por su parte, contiene dos archivos, un ejecutable legítimo «CiscoCollabHost.exe» que es susceptible de carga lateral de DLL y un archivo DLL malicioso «CiscoSparkLauncher.dll» (es decir, Voldemort) que se carga lateralmente.
Voldemort es un backdoor personalizado escrito en C que viene con capacidades para la recopilación de información y la carga de cargas útiles de la siguiente etapa, con el malware utilizando Google Sheets para C2, exfiltración de datos, y la ejecución de comandos de los operadores.
Proofpoint describió la actividad como alineada con las amenazas persistentes avanzadas (APT), pero con «vibraciones de ciberdelincuencia» debido al uso de técnicas populares en el panorama de la delincuencia electrónica.
Sectores Afectados
La campaña ha sido calificada de inusual, lo que plantea la posibilidad de que los actores de la amenaza lanzaran una amplia red antes de centrarse en un pequeño grupo de objetivos. También es posible que los atacantes, probablemente con distintos niveles de conocimientos técnicos, planearan infectar varias organizaciones.
«Aunque muchas de las características de la campaña coinciden con la actividad de amenazas cibercriminales, creemos que se trata probablemente de una actividad de espionaje llevada a cabo para apoyar objetivos finales aún desconocidos. La amalgama Frankensteiniana de capacidades inteligentes y sofisticadas, junto con técnicas y funcionalidades muy básicas, hace que sea difícil evaluar el nivel de capacidad del actor de la amenaza y determinar con alta confianza los objetivos finales de la campaña» Afirman los investigadores.
El ataque se ha dirigido a un amplio espectro de sectores, incluyendo defensa, tecnología, finanzas y otras industrias clave en diversas regiones del mundo. La elección de Google Sheets como vector de control sugiere que los atacantes están bien financiados y son técnicamente sofisticados, capaces de llevar a cabo campañas de largo alcance con un alto grado de sigilo.
Implicaciones para la Seguridad
Este tipo de ataque resalta la creciente tendencia de los cibercriminales a explotar servicios en la nube de confianza para actividades maliciosas. Las organizaciones deben ser conscientes de los riesgos asociados con el uso de aplicaciones en la nube y tomar medidas proactivas para monitorear el uso de dichas plataformas. Es crucial implementar políticas de seguridad que incluyan la vigilancia del tráfico hacia servicios en la nube, así como la actualización y revisión constante de las configuraciones de seguridad.
Recomendaciones para Mitigación
Para mitigar los riesgos, se recomienda a las organizaciones revisar y reforzar sus políticas de seguridad relacionadas con el acceso a aplicaciones en la nube. También es vital capacitar al personal en prácticas de ciberseguridad, para que sean capaces de identificar comportamientos sospechosos y reportarlos adecuadamente. Las soluciones de seguridad deben ser capaces de analizar el tráfico en tiempo real y detectar cualquier anomalía que pueda indicar la presencia de malware operando a través de servicios legítimos como Google Sheets.
La explotación de Google Sheets en esta campaña de espionaje subraya la necesidad de una ciberseguridad más robusta y adaptable. Los atacantes están utilizando métodos cada vez más ingeniosos para evadir las defensas tradicionales, lo que obliga a las organizaciones a adoptar enfoques de seguridad más dinámicos y a estar siempre un paso adelante en la protección de sus activos digitales.
Conoce otras noticias en mi blog.