Investigadores afirman que miembros de la Organización del Tratado del Atlántico Norte (OTAN) fueron objetivos durante días festivos de un ataque basado en un documento que evita ser descubierto al permanecer inactivo cuando detecta el entorno de prueba de un investigador de seguridad.

Las características de este ataque, según investigadores de Cisco Talos, incluyen un flujo de trabajo complejo donde distintos objetos "anidados" están incrustados unos dentro de otros. "El documento analizado es un documento RTF con una sucesión de objetos incrustados", escribieron David Maynor, Paul Rascagneres, Alex McDonnell y Matthew Molyett en el informe.

La empresa Cisco Talos cree que la intención detrás de estos ataques es llevar a cabo un reconocimiento de miembros de la OTAN, y al mismo tiempo evitar la detección por los sistemas sandbox.

Esto comienza con un documento RTF denominado "NATO Secretary meeting.doc" que incluye un objeto OLE, también conocido como la vinculación e incrustación de objetos, utilizado para vincular documentos u objetos adicionales. En el caso de este OLE contiene un objeto de Adobe Flash, de acuerdo con Cisco Talos.

El uso de la incrustación OLE para difundir archivos maliciosos es cada vez más común. El año pasado, Microsoft advirtió un aumento en los casos reportados donde autores de malware estaban usando documentos maliciosos para hacer mal uso de la vinculación e incrustación de objetos en los documentos de Word para engañar a usuarios y que estos que permitan la descarga de contenido malicioso.

"El propósito de Adobe Flash (objeto) es extraer un BLOB (Objeto Largo Binario) incrustado en sí mismo a través de la ejecución de ActionScript", escribieron los investigadores. A su vez, el código ActionScript contiene la URL de los servidores C&C, también utiliza conexiones HTTP para enviar información del perfil del sistema (versión del sistema operativo y la versión de Flash) al servidor C&C.

"Esta información puede ser utilizada por el atacante como un punto de decisión con respecto al interés en la víctima. Si el sistema infectado se parece a una sandbox o una máquina virtual, el operador podría ignorar la solicitud y el código ActionScript finaliza", escribieron los investigadores.

A continuación, si el sistema se considera deseable y no hay sospechosa de estar en un entorno de prueba de un investigador de seguridad, la actividad maliciosa continúa ejecutando la función "expLoaded ()" (o cargar exploit).

Esto desencadena el descifrado de un objeto SWF de Adobe Flash. Aquí el código ActionScript se utiliza para descomprimir y descifrar el archivo SWF y al mismo tiempo realiza una consulta HTTP para recuperar la carga útil (payload), dijo Cisco.

"Adobe Flash solicita la carga útil y un exploit el cual es cargado y ejecutado al vuelo. Este enfoque es muy inteligente, desde el punto de vista del atacante, el exploit no se incrusta en el documento por lo que es más difícil de detectar para algunos dispositivos de seguridad que un troyano estándar en un documento de WORD", escribieron los investigadores.

Por último, un segundo archivo Flash malicioso es descifrado y ejecutado a través de la API flash.display.Loader(), según los investigadores. Sin embargo, los detalles reales sobre la carga útil son escasos. Cisco Talos solo dice: "La carga de código malicioso ha sido recientemente sustituida para devolver una cantidad considerable de datos no deseados con la intención de inhibir la investigación."

Los investigadores dijeron que durante su análisis creen que los criminales eran conscientes que ellos estaban investigando su infraestructura y decidieron sabotearla para crear barricadas en investigación mediante la generación de los datos no deseados.

"Estas son las características de atacantes razonablemente avanzados que han diseñado un marco minimalista eficiente, que fuera capaz de adaptarse a efectos sobre la marcha", escribieron los investigadores de Cisco Talos.

Los investigadores creen que los miembros de la OTAN fueron el objetivo basándose en el nombre de archivo del documento "NATO Secretary meeting.doc".