Tengo un puente para venderte. Por qué AutoCAD el malware sigue funcionando

Tengo un puente para venderte. Por qué el malware AutoCAD sigue funcionandoAmpliar Jancolton / Wikimedia

Los hackers criminales continúan explotando una función en Autodesk programa de AutoCAD ampliamente utilizado en un intento de robar valioso diseños asistidos por computadora para puentes, edificios de fábricas y otros proyectos, dijeron los investigadores el martes.

Los ataques llegan en correos electrónicos de phishing y en algunos casos Paquetes postales que contienen documentos de diseño y planos. Incluido en el mismo directorio hay archivos camuflados formateados en AutoLISP, un dialecto específico de AutoCAD del lenguaje de programación LISP. Cuando los objetivos abren el documento de diseño, pueden causar inadvertidamente Archivo AutoLISP a ejecutar. Mientras que las versiones modernas de AutoCAD por mostrar de forma predeterminada una advertencia de que un script potencialmente inseguro ejecutar, las advertencias pueden ser ignoradas o suprimidas por completo. A hacer que los archivos sean menos visibles, los atacantes han establecido su propiedades que deben ocultarse en Windows y su contenido debe estar encriptado

Los ataques no son nuevos. Otros similares ocurrieron hace tanto tiempo como 2005, antes de que AutoCAD proporcionara el mismo conjunto de defensas robustas contra el malware dirigido que hace ahora. Los ataques continuaron fuerte en 2009. Una campaña específica recientemente descubierta por la seguridad Forcepoint estuvo activo tan recientemente como este año y ha sido activo desde al menos 2014, una indicación de que la orientación de malware los planos no desaparecerán pronto.

En un análisis que se espera publicar el miércoles, la compañía los investigadores escribieron:

CAD cambió nuestra vida moderna y, como un efecto secundario desafortunado, el espionaje industrial también cambió junto con él. Esquemas de diseño, planes de proyectos y documentos vitales similares se almacenan y compartido entre las partes de manera digital. El valor de estos documentos, especialmente en industrias nuevas y prósperas como energías renovables, probablemente nunca hayan sido tan altas. Todo esto hace Es atractivo para los grupos cibercriminales más hábiles participar: en lugar de enviar millones de correos electrónicos y esperar a la gente para caer en ello, se puede obtener mucho más dinero vendiendo planos para el mejor postor.

Forcepoint dijo que ha rastreado más de 200 conjuntos de datos y aproximadamente 40 módulos maliciosos únicos, incluido uno que pretende incluye un diseño para el puente Zhuhai-Macao de Hong Kong. Los ataques incluir un programa AutoLISP precompilado y encriptado titulado acad.fas. Primero se copia en tres ubicaciones en un sitio infectado computadora para aumentar las posibilidades de que se abra si se extiende a computadoras nuevas Las computadoras infectadas también se reportan a servidores controlados por atacantes, que utilizan una serie de ofuscados comandos para descargar documentos.

Un  example of a project render included in a lure document.Anejemplo de un proyecto renderizado incluido en un documento señuelo.

Todos los subdominios del servidor de control se resuelven en la misma IP dirección, que parece estar ejecutando un idioma chino instalación de Microsoft Internet Information Server 6.0. Los investigadores de Forcepoint descubrieron que la misma IP se utilizó anteriormente Campañas de AutoCAD. También encontraron una IP vecina que tenía el misma configuración de IIS.

Múltiples compañías en múltiples ubicaciones

A security options box included in modern versions of AutoCAD.Agrandar / Una caja de opciones de seguridad incluida en versiones modernas de AutoCAD.Autodesk “Pivotar en los dominios C2 sugiere que el los actores se han dirigido con éxito a múltiples empresas en todo múltiples geolocalizaciones con al menos una campaña que probablemente haya sido centrado en el sector energético “, escribieron los investigadores de Forcepoint. “Varias empresas dentro o con enlaces a las renovables La industria energética parece haber sido víctima del malware “.

Como se señaló anteriormente, AutoCAD ha agregado una variedad de mitigaciones a prevenir este tipo de ataques. El principal de ellos es una seguridad cuadro de opciones que controla qué archivos ejecutables se pueden cargar, desde qué ubicaciones y si se debe mostrar una ventana emergente de advertencia. La mejor opción es deshabilitar por completo los archivos de ejecución automática. Si eso no es factible, las ubicaciones de los archivos deben ser estrictamente restringido, y las advertencias siempre deben mostrarse. Los usuarios deben También considere configurar Windows para mostrar todos los archivos, incluso cuando sus atributos están configurados como ‘ocultos’.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: