EyePyramid: un malware para mejorar las inversiones

La historia de dos aficionados que pudieron espiar durante dos años a funcionarios italianos sin ser atrapados

Cuando hablamos de malware en Kaspersky Daily, y lo hacemos a menudo, solemos elegir los tipos de malware que, según nuestras informaciones, han afectado a muchas personas. Por ejemplo, CryptXXX, TeslaCrypt, entre otros, han atacado a millones de usuarios del mundo. Los que solo se han detectado unas pocas veces no suelen merecer mucha atención. Como ya sabrás, hay muchos malware ahí fuera (y no podemos dedicar un artículo a cada uno).

Pero siempre hay una excepción a toda regla. Hoy hablaremos del malware llamado EyePyramid. No, nosotros no le pusimos el nombre, fueron sus creadores. Y la razón por la que vamos a hablar de él es porque destaca de entre los demás y su historia se parece a un cuento de fantasía. En ella, un hombre pequeño consigue grandes resultados (y, al final, fracasa).

El negocio phishing de una familia italiana

Empecemos por el hecho de que EyePyramid era, básicamente, un negocio familiar. El malware en sí lo desarrolló un italiano de 45 años, Giulio Occhionero, el cual tiene un título en ingeniería nuclear. Él y su hermana, Francesca Maria Occhionero, de 48 años de edad, trabajaban difundiendo el malware. Trabajaban juntos en una pequeña sociedad de inversión.

De acuerdo con un informe que la policía italiana ha publicado recientemente, EyePyramid se distribuía mediante spear phishing y sus objetivos eran principalmente miembros del gobierno italiano con un cargo alto, además de masones, bufetes de abogados, servicios de consultoría, universidades e, incluso, cardenales del Vaticano.

¿Para qué? Una vez instalado, el malware permitía a sus creadores acceder a todos los recursos de los ordenadores de las víctimas. Se utilizaba con el único motivo de recopilar información para, según informa SC Magazine, utilizarla con el fin de realizar inversiones más rentables. Malware como herramienta para analistas. Personalmente, no veo la relación entre inversiones y cardenales, pero al parecer los delincuentes sí.

El alto perfil de las posiciones de las víctimas y también el hecho de que la policía italiana no revele detalles sobre EyePyramid, salvo la dirección de los servidores de mando y control y varios correos electrónicos utilizados, llamó la atención a nuestros expertos de GReAT. Por lo que decidieron investigarlo por su cuenta.

Novatos en ciberdelincuencia

Mediante la información del informe policial, nuestros analistas pudieron encontrar la cantidad de 44 muestras diferentes de EyePyramid y ello nos hizo comprender la historia. Algunos medios insisten en que EyePyramid es complejo y sofisticado, pero no es así. En realidad, es muy simple. El dúo empleaba métodos como usar múltiples espacios para ocultar la extensión de un archivo ejecutable que contenía el <i>malware</i>. Sencillo, pero eficaz.

Al parecer, los Occhionero empezaron con la parte delictiva de su negocio hace mucho tiempo (las muestras más antiguas que hemos podido rastrear datan de 2010). Los funcionarios italianos dicen que el dúo podría haber estado activo desde 2008.

Al ser los dos aficionados en el campo de la ciberdelincuencia, fallaron en mantener un buen operativo de seguridad. De hecho, no les importaba nada la seguridad: hablaban por teléfono de sus víctimas (y ya sabéis que las agencias de seguridad pueden pinchar fácilmente un teléfono) y por WhatsApp (que no usaba cifrado de extremo a extremo hasta este año). Además, dejaban pistas de la dirección IP asociada a su compañía.

No obstante, según cálculos de la policía italiana, llevan los tres últimos años operando, pero puede que lleven más de ocho años, la cifra de sus víctimas asciende a 16,000 y han conseguido acceder a sus ordenadores en más de 100 ocasiones. Eso otorgó mucha información al dúo (gigabytes de información que seguramente les ayudó a mejorar sus inversiones). Esta es la confirmación perfecta de la teoría que dice que las inversiones en educación (en este caso, aprendizaje de seguridad operacional) suelen ser mejores.

El fin de la historia

El 10 de enero, el FBI arrestó a Giulio y a Francesca Mario Occhionero, por lo que la distribución del malware de los principiantes se ha acabado.

Su duración puede parecer sorprendente, pero su secreto quizá resida en la simplicidad del malware. Parecía demasiado aburrido como para ser investigado y Kaspersky Security Network solo tenía registrados 92 intentos de infección, lo que es nada en comparación con el océano de intentos de ataque de los malware populares. No obstante, los delincuentes están en la cárcel y todo va bien en el mundo.

Consejos