Si hablamos de diseño en tres dimensiones, Autodesk 3ds Max es, sin ningún género de dudas, una de las aplicaciones más veteranas y asentadas del sector. Apostaría a que el 90% de los aficionados a la informática que tuvieron un ordenador personal en algún momento de los noventa lo probaron en alguna ocasión (sí, en la mayoría de los casos obtenido en un CD de un amigo que también incluía AutoCAD, Photoshop y otras tantas aplicaciones). La taza y la tetera son un recuerdo que perdura en la memoria de muchos e, incluso, conozco a un par de personas que ahora, dos décadas después, se dedican profesionalmente al diseño 3D.
Fruto de su enorme implantación en el sector industrial, el principal problema de 3ds Max, al igual que de otras aplicaciones dirigidas a este entorno, es que un agujero de seguridad en las mismas puede ser particularmente «goloso» para intentar llevar a cabo acciones de espionaje industrial, una actividad que suele estar fuera de los focos, pero que en realidad se mantiene muy viva y evoluciona constantemente, poniendo en peligro las actividades de muchas empresas, que pueden ver como su competencia, súbitamente, parece adelantarse a todos sus pasos.
Hablamos de una realidad tan, tan rentable, que existen grupos de ciberdelincuentes que ofrecen este tipo de servicios a empresas. Por la suma adecuada, solo es necesario contactar con los delincuentes para contratar sus servicios y, si todo sale según los planes, tras un tiempo a la espera empezar a recibir información interna sobre la víctima del espionaje.
Se han descubierto un ataque de espionaje dirigido a una empresa de producción de video y arquitectura internacional, cuyo nombre no se ha revelado, y que tenía todas las características que indican que se trata de una campaña cuidadosamente orquestada. «El grupo de ciberdelincuentes se infiltró en la empresa utilizando un complemento contaminado y especialmente diseñado para Autodesk 3ds Max «.
Autodesk publicó un anuncio para los usuarios de 3ds Max, a principios de agosto, en el advertía a los usuarios sobre una variante del exploit MAXScript «PhysXPluginMfx» que puede dañar la configuración de 3ds Max, ejecutar código malicioso y propagarse a otros archivos MAX en un sistema Windows, empleando para ello MAXScript, el sistema de scripts para 3ds Max.
Una vez que la carga inicial llega al sistema comprometido, su primer paso es descargar nuevos scripts que se encargan de recopilar información sobre el mismo, realizar capturas de pantalla, recuperar contraseñas de navegadores web y, claro, exfiltrar toda la información obtenida a un servidor de comando y control ya localizado. Un servidor al que ya apuntan muestras de patógenos detectadas anteriormente, lo que indica que hablamos de un grupo que probablemente se haya especializado en este tipo de acciones de ciberespionaje, y que puede estar explotando 3ds Max en más empresas.
Según los investigadores, hablamos de un malware avanzado, que emplea varias técnicas para minimizar su impacto en los sistemas atacados, además de detectar acciones como la apertura del administrador de tareas, en cuyo caso detiene sus acciones para, de este modo, no consumir recursos y hacerse pasar por un proceso en reposo. Aunque no se ha identificado al grupo tras las acciones, la infraestructura de Comando y Control utilizada por el grupo de ciberdelincuentes se encuentra en Corea del Sur.
Aunque ha habido otros grupos, como Dark Basin y Deceptikons (también conocido como DeathStalker), dirigidos al sector financiero y legal, esta es la primera vez que un actor de amenazas ha empleado el mismo modus operandi en la industria de bienes raíces. El mes pasado, se encontró una campaña similar, llamada StrongPity, que usaba instaladores de software contaminados para crear en los sistemas afectados una puerta trasera para la exfiltración de documentos.
Se recomienda que los usuarios de 3ds Max descarguen la última versión de Security Tools para Autodesk 3ds Max 2021-2015SP1 para identificar y eliminar el malware PhysXPluginMfx MAXScript.
Créditos: Muy seguridad
