Damián Digital

Los señuelos con temática de COVID apuntan a los sectores de SCADA con malware de robo de datos

Se ha descubierto una nueva campaña de malware que utiliza señuelos con temática de coronavirus para atacar al gobierno y a los sectores energéticos de Azerbaiyán con troyanos de acceso remoto (RAT) capaces de exfiltrar documentos confidenciales, pulsaciones de teclas, contraseñas e incluso imágenes de la cámara web.

En los ataques dirigidos se utilizan documentos de Microsoft Word como goteros para desplegar un RAT basado en Python, previamente desconocido, apodado «PoetRAT» debido a diversas referencias a sonetos del dramaturgo inglés William Shakespeare.

«La RAT tiene todas las características estándar de este tipo de malware, proporcionando un control total del sistema comprometido a la operación», dijo Cisco Talos en un análisis publicado la semana pasada.

Según los investigadores, el malware se dirige específicamente a los sistemas de control de supervisión y adquisición de datos (SCADA) de la industria energética, como los sistemas de turbinas eólicas, cuyas identidades se desconocen actualmente.

El desarrollo es el último de una oleada de ciberataques que explotan los temores de la actual pandemia de coronavirus como cebo para instalar malware, robar información y obtener beneficios.

Usando los señuelos con temática de COVID-19

La campaña funciona adjuntando el PoetRAT a un documento de Word que, al abrirse, ejecuta una macro que extrae el malware y lo ejecuta.

El mecanismo exacto de distribución del documento de Word sigue sin estar claro, pero dado que los documentos están disponibles para su descarga desde una simple URL, los investigadores sospechan que las víctimas están siendo engañadas para descargar la RAT a través de URL maliciosas o correos electrónicos de phishing.

Talos dijo que descubrió ese ataque en tres oleadas a partir de febrero, en algunas de las cuales se utilizaron documentos señuelo que decían ser de organismos gubernamentales de Azerbaiyán y de la Organización de Investigación y Desarrollo para la Defensa de la India (DRDO), o que aludían a COVID-19 en sus nombres de archivo («C19.docx») sin ningún contenido real.

LEER  Tu teléfono está escuchando y no es paranoia
malware code

Independientemente del vector de ataque, la macro Visual Basic Script del documento escribe el malware en el disco como un archivo llamado «smile.zip», que consiste en un intérprete de Python y la propia RAT.

El script Python también comprueba el entorno en el que se abre el documento para asegurarse de que no está en una caja de arena, basándose en la suposición de que las cajas de arena tienen discos duros de menos de 62 GB. Si detecta un entorno de caja de arena, se borra a sí mismo del sistema.

Haciendo modificaciones en el registro para ganar persistencia

En cuanto a la RAT, viene con dos guiones: un «frown.py» que se encarga de comunicarse con un servidor de comando y control remoto (C2) con un identificador de dispositivo único, y un «smile.py» que se encarga de la ejecución de los comandos C2 en la máquina comprometida.

Los comandos hacen posible que un atacante cargue archivos sensibles, capture capturas de pantalla, termine procesos del sistema, registre las pulsaciones de teclas («Klog.exe») y robe contraseñas almacenadas en los navegadores («Browdec.exe»).

Además de esto, el adversario detrás de la campaña también desplegó herramientas de explotación adicionales, incluyendo «dog.exe», un malware basado en .NET que monitorea las rutas de los discos duros, y transmite automáticamente la información a través de una cuenta de correo electrónico o un FTP. Otra herramienta llamada «Bewmac» permite al atacante tomar el control de la cámara web de la víctima.

El malware gana en persistencia creando claves de registro para ejecutar el script Python e incluso puede hacer modificaciones en el registro para evitar la verificación de evasión de la caja de arena mencionada anteriormente, posiblemente para evitar volver a verificar el mismo entorno de nuevo.

LEER  500 extensiones de Chrome atrapadas robando datos privados de 1,7 millones de usuarios

«El actor monitorizó directorios específicos, señalando que quería extraer cierta información sobre las víctimas», concluyeron los investigadores de Talos.

«El atacante quería no sólo información específica obtenida de las víctimas, sino también un alijo completo de información relativa a su víctima. Al utilizar Python y otras herramientas basadas en Python durante su campaña, el actor pudo haber evitado ser detectado por las herramientas tradicionales que han blanqueado las técnicas de ejecución de Python».

Fuentes: https://thehackernews.com/

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: