El pasado junio se identificó un malware que infectaba AutoCAD para Windows y que es responsable del robo de miles de documentos. AutoCAD es un popular programa para dibujo 2D y 3D que se utiliza para diseñar todo tipo de productos como viviendas, automóviles, industria aeroespacial así como en defensa, por lo que es realmente interesante para el espionaje industrial. En este post estudiaremos a un malware conocido como Medre.
Desde un punto de vista técnico es un malware sencillo, escrito en AutoLISP y scripts/payloads en VBS, pero ingenioso ya que infecta múltiples versiones de AutoCAD en Windows (ver Fig. 1) con el objetivo de robar ficheros y enviarlos por correo a servidores en China.
Fig. 1 – Versiones soportadas de AutoCAD por Medre
En la Fig. 2 podemos ver los servidores chinos donde se envía la información robada, Medre utiliza diversas cuentas de correo en estos servidores. A pesar de utilizar servidores chinos no está del todo claro si el origen del ataque proviene de allí.
Fig. 2 – Servidores Chinos
Y en la Fig. 3 podemos ver parte del código responsable de comprimir los ficheros robados utilizando WinRAR estableciendo la contraseña “1”.
Fig. 3 – Código WinRAR
Si pensamos que AutoCAD es uno de los programas más populares para diseño que corre en múltiples plataformas como Windows, MacOS y móviles (Android y iOS), nos llama la atención lo ingenioso de este ataque, simple y eficaz. ¿Quizás futuras versiones del malware sean multiplataforma?
Sin duda los ataques al tejido industrial ya sea a sistemas SCADA o utilizando malware como Medre para el robo de información son realmente interesantes y peligrosos para muchas organizaciones y Estados-Naciones.
¿Qué malware de espionaje industrial te ha parecido interesante?
— Simon Roses Femerling