Investigadores de Panda Security han descubierto una amenaza que tiene como objetivo al sector de transporte de petróleo en vías marítimas, emplean ataques que son indetectables por muchas herramientas de defensa.

Panda reportó el descubrimiento de la campaña en su reporte "Operación Petroleo: La Amenaza Fantasma" (Operation "Oil Tanker" The Phantom Menace) advirtiendo de un ataque atípico que tiene com fin el robo de datos por medio de la manipulación de los registros de Windows y de aplicaciones legítimas.

Los invesitgadores comentan que, a falta de malware en esta amenaza, los atacantes son capaces de evitar los sistemas de defensa que están basados en firmas, permitiéndoles una considerable cantidad de tiempo dentro de los sistemas infectados.

"No se empleó el uso de malware en el ataque debido a que fue realizado empleando herramientas legítimas y diferentes tipos de scripts para llevar a cabo las acciones maliciosas" se lee en el reporte.

"[Esto quiere decir] que no hay antivirus capaz de detectar esta amenaza. Por otra parte, por las particularidades del ataque, parece que las capas de protección proactivas que se incluyen en la mayoría de las soluciones antivirus no serían capaces de detectar el comportamiento aparentemente inofensivo."

"Esto fue confirmado cuando se logró tener acceso al servidor FTP que alberga los datos enviados por esta amenaza, en el cuál se encontraron registros que datan de agosto de 2013".

Esta campaña es una de tantas en la que los atacantes se mantienen de forma peristente en la red de las víctimas, por ejemplo, el sitio de noticias V3 reveló que Darktrace había comprometido un servicio financiero no identificado para robar datos durante seis meses antes de ser detectado.

Un análisis reciente de la campaña "The phantom menace" mostró que los criminales habían robado una cantidad significativa de información, observando una tendencia a realizar ataques de tipo dirigidos. "Nos sorprendimos de la cantidad de archivos almacenados dentro del servidor FTP, mas de 80 mil archivos de texto con credenciales robadas de otras empresas".

"Descartamos los archivos duplicados, quedando 860 archivos únicos. Estos archivos pertenecen a 10 compañías, todas ellas se encuentran dentro del sector de transporte marítimo de petróleo". [...]"Es evidente que el ataque fue dirigido, pero seguimos sin saber cuál es o fue el verdadero objetivo".

A pesar del uso de técnicas sofisticadas para la extracción de datos, los ataques usados por Phantom Menace hacen uso de phishing para infectar inicialmente los sistemas.