Autodesk 3ds Max es usado por atacantes para espionaje industrial

En un informe publicado el pasado miércoles 26 de agosto, Bitdefender publicó un estudio en el que informaban de que habían descubierto un caso más de ciberespionaje que tenía como objetivo a una compañía internacional de producción de vídeo y diseños arquitectónicos cuyo nombre no ha sido revelado.

Los investigadores de Bitdefender explicaban que el grupo de atacantes utilizó un plugin personalizado especialmente para Autodesk 3ds Max. Asimismo, comunicaron que la infraestructura de Control y Comando (C&C) se encuentra en Corea del Sur. Según el informe,

Lo sofisticado del ataque revela que se trata de un grupo APT con conocimiento previo de los sistemas de seguridad empleados por la compañía y utilizados en aplicaciones software, habiendo planeado cuidadosamente el ataque para infiltrarse en la empresa y exfiltrar información sin ser detectados.

Ya el mes pasado Autodesk avisó a sus usuarios sobre el exploit MAXScript «PhysXPluginMfx», el cual puede corromper la configuración de 3ds Max, ejecutar código malicioso, y propagarse a otros archivos MAX en sistemas Windows después de cargar los archivos infectados.

Sin embargo, en el caso informado por los investigadores de Bitdefender, la muestra PhysXPluginStl.mse contenía un archivo DLL que descargaba binarios .NET del servidor C&C con la intención de robar documentos relevantes.

En el caso de los binarios, se encargan de descargar otros archivos MAXScripts capaces de recolectar información sobre el equipo vulnerado y exfiltrar los detalles a un servidor remoto, el cual transmite un payload final que puede hacer capturas de pantalla y reunir contraseñas de navegadores web como Firefox, Google Chrome e Internet Explorer.

Además de hacer uso de técnicas de ocultación para evadir su detección, los investigadores también encontraron que los creadores del malware disponían de un completo kit para espiar a sus víctimas, incluyendo un binario llamado «HdCrawler», utilizado para enumerar y subir archivos con extensiones específicas al servidor (.webp, .jpg, .png, .zip, .obb, .uasset, etc.), así como un mecanismo empleado para llevar a cabo el robo de información.

Los datos que podían ser robados por el grupo de atacantes son los siguientes:

  • Nombre de usuario
  • Nombre del equipo vulnerado
  • Direcciones IP de los adaptadores de red
  • Nombre de producto de Windows
  • Versión del framework .NET
  • Información sobre los procesadores
  • RAM disponible
  • Detalles almacenados sobre los procesos que estaban siendo ejecutados en el sistema
  • Archivos que se inician automáticamente al arrancar el equipo
  • Lista de archivos a los que se ha accedido recientemente

Los ataques de espionaje industrial podrían convertirse en algo cada vez más frecuente ya que, por ejemplo, se encontraron otras muestras de malware de hace tan solo un mes que se comunicaban con el mismo C&C, lo que sugiere que el grupo podría tener otras víctimas además de la compañía mencionada en esta publicación. Desde Bitdefender advierten de que este tipo de ataques, normalmente empleados por instituciones gubernamentales, a partir de ahora podrían ser contratados por cualquier persona o empresa que busque obtener beneficios frente a sus competidores.

Más información

APT Hackers Exploit Autodesk 3ds Max Software for Industrial Espionage

Informe de Bitdefender

Comparte en tus redes: