AutoCAD es sin duda uno de los programas de modelado y diseño asistido por ordenador más conocidos y usados desde hace más de 30 años. Si bien es un software especializado usado principalmente por ingenieros y arquitectos, el valor de lo que se produce con él es bastante importante y se ha convertido en un gran objetivo del espionaje industrial.
Explotando una característica en el programa de Autodesk, los cibercriminales están intentando robar diseños para puentes, edificios de fábricas y otros proyectos, ya sea con propósitos de espionaje industrial o para vender en el mercado negro por altas sumas de dinero.
La firma de seguridad Forcepoint explica que se encuentran analizando actualmente una campaña de malware para AutoCAD destinada al robo de planos de empresas del sector energético. Y según los datos que ha recolectado la compañía parece haber estado activa desde el 2014.
Los ataques llegan a través de correos electrónicos de phishing que contienen documentos de diseño y planos, pero en el mismo directorio se incluyen archivos maliciosos de AutoCAD formateados en AutoLISP, o enlaces a sitios web desde los que las víctimas pudieran descargar los archivos ZIP por sí mismas, en caso de que los archivos “carnada” tuvieran que ser mayores que los límites de archivos adjuntos del correo electrónico estándar. Todo muy natural.
Cuando la víctima abre el documento de diseño puede provocar que se ejecute un archivo AutoLISP sin querer. Aunque las versiones modernas de AutoCAD por defecto muestran una advertencia de que se ejecutará un script potencialmente inseguro, las advertencias pueden ignorarse o suprimirse por completo. Para que los archivos sean menos llamativos, los atacantes han establecido que sus propiedades se oculten en Windows y que sus contenidos se cifren.
Forcepoint dijo que esta campaña utilizó documentos de diseño ya robados de grandes proyectos como hoteles, fábricas e incluso el puente Hong Kong-Zhuhai-Macau como señuelos para seguir propagándose y adquirir más planos.
Este tipo de ataques no son nuevos, la mayoría del malware para AutoCAD ha explotado una característica básica de carga automática que permite a los usuarios crear sus propios scripts basados en AutoLISP y ejecutarlos en el inicio de la aplicación o al cargar los archivos del proyecto.
La parte interesante e importante aquí es el aspecto de ingeniería social, engañar al usuario para que abra un proyecto que aparentemente es legítimo puesto que ha sido robado antes, y esperar que el usuario lo ejecute y haga el resto del trabajo por los cibercriminales. Y como explica Forcepoint, su investigación apunta a que en la mayoría de los casos la apertura del archivo normalmente mostrará contenido legítimo (o al menos de apariencia legítima), pero también ejecutará los scripts maliciosos.
El valor de estos documentos, especialmente en el sector de la energía renovable es más alto que nunca, y por ello se ha convertido en un objetivo de los cibercriminales.
A pesar de esto, con simplemente prestar atención y llevar a cabo algunos pasos adicionales, la mayoría de los ataques basados en AutoCAD pueden ser mitigados. Es importante deshabilitar la carga automática desde fuentes no confiables, asegurándose de que siempre haya una advertencia emergente antes de que se ejecute cualquier módulo, y permitir la visibilidad de los archivos ocultos es fácil de lograr. Es algo que pueden controlarse a través de las entradas del registro, y es sumamente recomendado para los administradores de sistemas que apliquen esas medidas mediante políticas de grupo.
