Los kits maliciosos que se utilizan para ataques multiplataforma son un rara avis, debido a que requieren una inversión significativa por parte del desarrollador. Muchas veces se despliegan con la intención de ser utilizados a largo plazo, lo que conlleva un mayor beneficio para el atacante, quien puede realizar numerosos ataques a lo largo del tiempo. En los casos descubiertos por Kaspersky, el framework MATA logró dirigir ataques a tres plataformas -Windows, Linux y macOS-, un indicio de que los atacantes tenían previsto utilizarlo para múltiples propósitos. El framework consiste en diversos componentes, entre ellos un loader (cargador), un orquestrator (director), -que gestiona y coordina los procesos una vez que un dispositivo está infectado-, y unos plugins.

Según los investigadores de Kaspersky, los primeros artefactos encontrados relacionados con MATA fueron utilizados en torno a abril de 2018. A partir de ese momento, el actor responsable de este framework de malware avanzado ha adoptado un enfoque agresivo para infiltrarse en entidades corporativas de todo el mundo. Se ha utilizado para numerosos ataques dirigidos al robo de bases de datos de clientes y la distribución de ransomware -software diseñado para bloquear el acceso a un sistema informático hasta que la víctima pague un rescate.

Investigadores de Kaspersky han descubierto una serie de ataques que utilizan un framework malicioso avanzado, denominado MATA, para atacar a los sistemas operativos Windows, Linux y macOS. Esta infraestructura, en funcionamiento desde la primavera de 2018, está vinculada a Lazarus -un grupo prolífico de amenazas avanzadas persistentes (APT).

Según los datos de telemetría de Kaspersky, se han localizado víctimas infectadas por el framework MATA en Alemania, Polonia, Turquía, Corea, India y Japón, lo que indica que el actor de ciberamenazas no se centraba en una zona geográfica en concreto. Asimismo, Lazarus comprometió sistemas de varios sectores, entre ellos una empresa de desarrollo de software, una compañía de comercio electrónico y un proveedor de servicios de Internet.

Los investigadores de Kaspersky lograron vincular MATA con el grupo Lazarus, conocido por sus sofisticadas operaciones, y por el ciberespionaje y ataques con fines financieros. Un grupo de investigadores, entre ellos los de Kaspersky, informaron anteriormente sobre este grupo, que tiene como objetivo a bancos y otras grandes entidades financieras. A él se le atribuyen las campañas ATMDtrack y AppleJeus. Esta última serie de ataques sugiere que el actor continúa con este tipo de actividad.

“Esta serie de ataques indica que Lazarus estaba dispuesto a invertir importantes recursos para desarrollar este kit de herramientas y ampliar el alcance de las organizaciones a las que se dirigía -en particular, con la intención de sustraer dinero y datos. Por otra parte, la codificación de malware para sistemas Linux y macOS, a menudo indica que el atacante cree que ya dispone de suficientes herramientas para Windows, la plataforma en la que se ejecutan la gran mayoría de dispositivos. Este enfoque es más común entre los grupos APT más maduros”, señala Seongsu Park, analista senior de seguridad. “Esperamos que el framework MATA se desarrolle aún más y recomendamos a las empresas que presten más atención a la seguridad de sus datos, ya que sigue siendo uno los recursos clave y más valiosos que podría verse afectado”. Para más información sobre el framework MATA, visite securelist.com.

Para evitar ser víctima de malware multiplataforma, los analistas de Kaspersky recomiendan implementar las siguientes medidas:

  • Instalar un producto específico de ciberseguridad en todos los endpoints Windows, Linux y MacOS, como por ejemplo, Kaspersky Endpoint Security for Business. Esto permitirá la protección contra las ciberamenazas nuevas y existentes y también proporciona una gama de controles de ciberseguridad para cada sistema operativo
  • Proporcionar a equipo SOC acceso a la última inteligencia sobre amenazas para ayudarles a mantenerse al día de las herramientas, técnicas y tácticas nuevas utilizadas por los actores de ciberamenazas
  • Tener siempre copias de seguridad recientes de los datos de la empresa a las que se pueda acceder de forma sencilla, para poder recuperar rápidamente los datos que hayan sido perdidos o bloqueados debido al ransomware