Malware se disfraza de cracker de contraseñas
¿No puedes entrar en la máquina? No hay problema, confía en esta herramienta de aspecto completamente no sospechoso.
Nuevo botnet malware se disfraza de cracker de contraseñas para controladores industriales, avisan los expertos en ciberseguridad. Los ingenieros y operarios industriales están siendo engañados para que ejecuten programas maliciosos de puerta trasera disfrazados de herramientas para recuperar el acceso a los sistemas de trabajo.
Estos programas ofrecen descifrar las contraseñas de determinados controladores lógicos programables, según informó este mes la tienda de seguridad Dragos.
Según sus anuncios en línea, las herramientas de cracking pueden ayudar a desbloquear productos de más de una docena de empresas de fabricación de productos electrónicos, como Siemens, Mitsubishi, Fuji, Panasonic, LG y Omron.
Todo lo que hay que hacer es comprar la herramienta, ejecutarla en un PC con Windows conectado al controlador industrial a través de un cable de serie, hacer clic en un botón, y se revela la contraseña del equipo. Bajo el capó, el software aprovecha una vulnerabilidad -rastreada como CVE-2022-2003- en el firmware Automation Direct del dispositivo para recuperar la contraseña en texto plano a la orden.
Mientras tanto, el software infecta el PC con el malware Sality.
El equipo de Dragos redactó estos hallazgos tras realizar ingeniería inversa de una muestra del código y sus comunicaciones con un PLC DirectLogic 06 de Automation Direct. Dragos se puso en contacto con Automation Direct para informarle sobre el fallo y la empresa ha publicado una actualización del firmware para cerrar el agujero.
¿No hay amenaza terrorista?
Una vez ejecutado en el PC, Sality se une a una red peer-to-peer, y proporciona acceso remoto al sistema. Sus intenciones parecen ser más financieras que destructivas, ya que el software está destinado a tareas de computación distribuida, como el descifrado de contraseñas y la minería de criptomonedas. Además, utiliza una serie de técnicas para evadir la detección.
Lo extraño es que el malware también despliega un código para comprobar el contenido del portapapeles en busca de direcciones de monederos de criptomonedas, y reescribe silenciosamente esos detalles para que apunten a otro monedero con el fin de robar los fondos de la gente. Recuerda que esto se ejecuta en PCs normalmente conectados a equipos industriales, por lo que quizás los delincuentes detrás de esta travesura simplemente tomaron algún desagradable genérico para usarlo.
«Dragos evalúa con una confianza moderada que el adversario, aunque tiene la capacidad de interrumpir los procesos industriales, tiene una motivación financiera y puede no afectar directamente a los procesos de tecnología operativa (OT)», escribió el equipo.
La familia de malware Sality ha existido durante casi dos décadas, siendo detectada por primera vez en 2003, y puede ser comandada por sus autores para realizar otras acciones maliciosas, como atacar routers, escribieron los analistas de F-Secure en un informe.
Sality mantiene su persistencia en el PC anfitrión a través de la inyección de procesos y la infección de archivos, y abusando de la funcionalidad de ejecución automática de Windows para difundir copias de sí mismo a través de USB, recursos compartidos de red y unidades de almacenamiento externo, según Dragos.
El malware también adopta medidas para pasar desapercibido, como el lanzamiento de un controlador de kernel para iniciar un servicio destinado a identificar y eliminar posibles herramientas de seguridad, como el software antivirus y los cortafuegos. Los investigadores de Dragos también señalaron que Sality puede ejecutar un filtrado de paquetes de red para detectar conexiones que incluyan URLs relacionadas con antivirus, y que eliminará los paquetes salientes que contengan palabras clave específicas vinculadas a sitios web de proveedores de antivirus.
«Esto podría tener implicaciones normativas: como Sality bloquea cualquier conexión saliente, los sistemas antivirus no podrán recibir actualizaciones, lo que infringe la norma de fiabilidad CIP-007-6», escribieron.
«Aunque Sality hace varios intentos de permanecer oculto, es bastante claro que se está produciendo una infección. Los niveles de la Unidad Central de Procesamiento (CPU) se disparan al 100% y se activan múltiples alertas de Windows Defender» cuando la empresa de seguridad realizó sus pruebas.
Dragos dijo que encontró varios sitios web y múltiples cuentas de redes sociales que promovían los descifradores de contraseñas con trampas, lo que ilustra un ecosistema para dicho software.
Los ingenieros pueden tener razones legítimas para descargar este tipo de software para descifrar contraseñas. Por ejemplo, pueden tener un plazo de entrega ajustado y necesitar encontrar una contraseña olvidada, o recuperar el acceso a un dispositivo después de que su operador renuncie repentinamente sin documentar sus credenciales. Sin embargo, el uso de una herramienta de recuperación de aspecto dudoso procedente de Internet introduciría «un riesgo significativo e innecesario en el entorno de las operaciones de mantenimiento de la paz», concluyen Dragos y cualquier persona con sentido común.
Fuente: TheRegister