Una operación de ciberespionaje afecta embajadas extrangeras en Irán. Según informa el grupo Kaspersky Lab esta semana detectaron una nueva versión del software Remexi, visto por primera vez en 2015, en sistemas informáticos de los edificios de embajadas extranjeras en Irán que, al parecer han estado espiando movimientos de diplomáticos durante más de tres años.
El software de ciberespionaje que afecta a la plataforma Windows se asoció previamente con el grupo de piratería conocido como Chafer y se supone que este último evolutivo es de origen iraní. El citado malware tiene la capacidad de recopilar pulsaciones del teclado, realizar capturas de pantalla, historiales de navegación incluyendo credenciales y contraseñas.
«Los atacantes dependen en gran medida de las tecnologías de Microsoft tanto en el lado del cliente como en el servidor: el troyano usa las utilidades estándar de Windows como el bitadmin.exe del Servicio de transferencia inteligente en segundo plano (BITS) de Microsoft para recibir comandos y extraer datos». Informó Denis Legezo de Karspersky.
De momento se desconoce la tecnología de propagación y por qué parece solo afectar a entidades diplomáticas extranjeras. Una vez en la máquina de la víctima, el software espía es muy persistente y se oculta en las tareas programadas, las claves de registro de Usuario y Ejecución en la sección HKLM, según la versión de Windows que haya infectado. Los datos se filtran a los servidores de comando y control mediante la utilidad de transferencia bitsadmin.exe de Microsoft.
Se cree que el objetivo de la operación forma parte de una campaña de espionaje local que persigue monitorizar la actividad de los diplomáticos en Oriente Medio para impulsar determinados intereses políticos.
SERVICIOS RELACIONADOS