Muestras de malware utilizados en ataques contra bancos polacos contenían evidencias de que se trata de culpar a piratas informáticos rusos
La comunidad de seguridad (TI y en el mundo real) se refiere a estas pistas que fueron descubiertos por Sergei Shevchenko, un experto en seguridad de habla rusa por BAE Systems.
En un informe publicado, el investigador revela que el malware utilizado en esos ataques contenía una gran cantidad de palabras rusas destrozados que ningún hablante nativo hubiera utilizado alguna vez.
Su investigación reveló que los operadores reales de los programas maliciosos utilizan los servicios en línea, como Google Translate, para traducir las palabras del Inglés al Ruso. Shevchenko dice que la persona que tradujo las palabras no tenía experiencia en el tratamiento de la lengua rusa y se dejó engañar por la ortografía fonética se muestra debajo del texto traducido.
Los piratas informáticos utilizan un montón de palabras sin sentido
Por ejemplo, cuando trató de traducir la palabra Inglés "cliente" para Rusia, que copiar-pegar el "kliyent" ortografía fonética, sin saber que la ortografía correcta de la palabra rusa "клиент" era "cliente" o "klient" pero nunca "kliyent."
Esta palabra fue sólo uno de los muchos que el investigador encontró en el contexto equivocado, como el uso de la palabra rusa para "animales de granja" después de que el atacante intentó traducir la palabra Inglés "bestia", o el uso de verbos en el tiempo equivocado.
Otros ejemplos incluyen el uso de la palabra rusa para "hervidor de agua" o "persona estúpida" al intentar traducida "de prueba" en el contexto de datos ficticios o marcador de posición.
El investigador encontró estas falsas palabras en el malware desplegado en huéspedes infectados, sino también dentro del explotar kit que se utiliza para implementar los binarios de malware a las víctimas a través de descargas no autorizadas.
El análisis en profundidad de este paquete de exploits y malware que infectó a los bancos polacos se puede encontrar en los sitios web de BAE Systems, Symantec, y ESET.
El malware esta vinculado a los ataques contra los bancos en México y Uruguay
Las tres empresas de seguridad dijeron que antes de la orientación bancos polacos, el mismo malware ha sido utilizada contra los bancos y algunas empresas privadas ubicadas en México y Uruguay, hacia el final de 2016.
Las tres compañías el banco polaco de malware comparte similitudes con el malware utilizado por Lázaro, un grupo ciberdelincuencia previamente vinculado a los ataques que se aprovecharon del sistema bancario SWIFT, y el perfil de ataques contra los estudios de cine de Sony.
Un consorcio de 13 empresas de seguridad ha publicado un informe sobre las actividades del grupo de Lázaro, que también atacó a los gobiernos de Corea del Sur y los EE.UU.. Muchos creen que este grupo esté operando fuera de Corea del Norte.
El malware banco polaco vinculado a los piratas informáticos de Sony
Según ESET, el malware utilizado en los recientes ataques contra Polonia, Uruguay, y los bancos mexicanos utiliza las mismas técnicas de carga de API dinámica observada en anteriores programas maliciosos grupo Lázaro.
Del mismo modo, los investigadores de Symantec descubrieron que el malware también utiliza las mismas cadenas de código, mientras que los investigadores de BAE Systems señalaron que las recientes muestras de malware también estaban protegidos por el mismo sistema de embalaje código Enigma Protector.
Con todo, la elaboración de todas estas técnicas comunes, y todas las palabras falsas que han intentado culpar a los ataques contra los piratas informáticos de habla rusa, los recientes ataques a los bancos polacos parecen ser obra de un grupo bien versado con antecedentes de ataques contra las instituciones financieras y con enlaces a Corea del Norte, en lugar de Rusia.
