Usan una versión fraudulenta del lector de pantalla de Windows para extraer información sensible de empresas tecnológicas

0
352

Un supuesto grupo chino dedicado a las amenazas persistentes avanzadas es señalado como responsable de una nueva ola de ataques llevado a cabo contra compañías tecnológicas gracias a la troyanización de una aplicación de Windows aparentemente inofensiva, el lector de pantalla Narrador.

Así lo aseguran los investigadores de seguridad de la compañía BlackBerry Cylance en el anuncio sobre el hallazgo que han hecho público esta misma semana.

«El objetivo de los atacantes es la exfiltración persistente de datos sensibles»

De acuerdo con el análisis de los ataques, sufridos por empresas tecnológicas del sudeste asiático, los atacantes actúan mediante dos vías. Por un lado, como decíamos, implementan una aplicación de lectura de pantalla troyanizada que reemplaza una función de la aplicación Narrador de Windows. Por otro, este supuesto grupo chino de amenazas persistentes avanzadas hicieron uso de una aplicación NVIDIA legítima y una puerta trasera en PcShare para actuar.

Un ataque ingenioso vía Narrador

Anotacion 2019 09 26 160316

Anotacion 2019 09 26 160316

Narrador es, como comentábamos, un lector de pantalla de Microsoft incluido en Windows. Fue desarrollado en el año 2000 y desde su implementación en cada versión del sistema operativo de los de Redmond facilita la utilización del sistema por parte de usuarios ciegos o con discapacidad visual.

Esta aplicación, facilitando la accesibilidad del sistema, es compatible con las pantallas braille y sustituye al ratón por la tecnología de voz. Y, en manos de estos atacantes en su versión modificada y fraudulenta, es la responsable de obtener acceso a nivel de sistema en los equipos expuestos.

Microsoft corrige de emergencia dos fallos críticos de Internet Explorer y Microsoft Defender en todas las versiones de Windows

El empleo de Narrador, dicen los investigadores, sugiere que los atacantes están interesados en mantener una conexión con las máquinas infectadas a largo plazo. Además, de acuerdo con sus análisis, las diferentes versiones encontradas de la aplicación fraudulenta revelan que se lanzó hace más de cuatro años y que todavía se modifica activamente para adaptarse mejor a las máquinas que pretende afectar.

Todos estos esfuerzos van encaminados, básicamente, a la extracción de información. «El objetivo de los atacantes es la exfiltración persistente de datos sensibles, así como el reconocimiento de la red local y el movimiento lateral», señalan desde BlackBerry Cylance. «El uso de una falsa aplicación Narrador para obtener privilegios a nivel de sistema indica que el actor de la amenaza está interesado en el monitoreo a largo plazo de la víctima, a diferencia de la recolección de datos puntuales».