Malware Meteor Wiper

Meteor Wiper, como su nombre indica, es un malware de limpiaparabrisas diseñado para causar daños irreversibles a las computadoras infectadas. Tales amenazas se implementan cuando el actor de la amenaza no busca ganancias monetarias. En cambio, el objetivo es causar tanta interrupción en las operaciones del objetivo específico o usar el ataque de limpiaparabrisas como una distracción para ocultar el verdadero objetivo de los piratas informáticos. Meteor wiper es un malware previamente desconocido que se implementó como parte del ciberataque contra el sistema ferroviario de Irán.

El descubrimiento de Meteor Wiper

El análisis inicial del ataque no detectó rastros de la amenaza del limpiaparabrisas. El actor de la amenaza detrás del hack no se ha determinado hasta ahora. Aún así, los ciberdelincuentes lograron violar el Ministerio de Transporte de Irán con éxito e interrumpir el sistema de trenes del país. Los atacantes cerraron el sitio web oficial de la agencia y anunciaron su logro mostrando un mensaje sobre el ciberataque en los foros de mensajes del ferrocarril. Varios de los mensajes mostrados también instaron a los pasajeros que deseen obtener más información sobre el incidente a llamar a un número de teléfono, que se determinó que pertenecía al líder supremo de Irán, Ali Khamenei. En segundo plano, el hackeo también resultó en el bloqueo de varios dispositivos Windows detrás de una pantalla de bloqueo que impedía el acceso a los sistemas.

La primera en descubrir que también se desplegaron amenazas adicionales como Meteor Wiper fue la empresa iraní de ciberseguridad Aman Pardaz. Un informe de SentinelOne y el investigador Juan Andrés Guerrero-Saade reveló información más profunda sobre la amenaza y varios componentes nuevos que fueron descubiertos.

La cadena de ataque

Antes de implementar Meteor Wiper, el actor de amenazas usó varios ejecutables y archivos por lotes que se entregaron a cada dispositivo comprometido y se encargó de preparar el entorno local para las cargas útiles finales. En primer lugar, se analizó el sistema en busca de productos antimalware específicos que, si se detectaban, se cerraban posteriormente. Luego, el dispositivo de destino se desconecta de la red. Para facilitar el buen funcionamiento de las amenazas de malware, se agregan exclusiones a Windows Defender. Durante el siguiente paso, se extraen varias cargas útiles de malware. Después de realizar varias tareas adicionales, como borrar los registros de eventos de Windows y vaciar la memoria caché del sistema de archivos en el disco, se inician las cargas útiles finales. Estos incluyen el limpiador Meteor entregado como un archivo llamado 'env.exe' o 'msapp.exe', un casillero MBR (Master Boot Record) y un casillero de pantalla.