Los investigadores han desenterrado una campaña de ataque que utiliza malware nunca antes visto para apuntar a organizaciones de Medio Oriente, algunas de las cuales están en el sector industrial.
Los investigadores de Kaspersky Lab, la firma de seguridad que descubrió la campaña, la llamaron WildPressure. Utiliza una familia de malware que no tiene similitudes con ningún código malicioso visto en ataques anteriores. También se dirige a organizaciones que no se superponen con otras campañas conocidas.
Milum, como se denomina el malware, está escrito en C++ y contiene pistas que sugieren que los desarrolladores pueden estar trabajando en versiones escritas en otros lenguajes de programación. Si bien Milum usa datos de configuración y mecanismos de comunicación que son comunes entre los desarrolladores de malware, los investigadores creen que tanto el malware como los objetivos son únicos.
llamando la atencion
«Una campaña que, aparentemente, se dirige exclusivamente a entidades en el Medio Oriente (al menos algunas de ellas están relacionadas con la industria) es algo que atrae automáticamente la atención de cualquier analista», escribió el investigador de Kaspersky Denis Legezo en una publicación publicada el martes. «Cualquier similitud debe considerarse débil en términos de atribución y pueden ser simplemente técnicas copiadas de casos anteriores bien conocidos. De hecho, este ciclo de ‘aprender de atacantes más experimentados’ ha sido adoptado por algunos nuevos actores interesantes en los últimos años».
Las muestras de Milum muestran una fecha de compilación de marzo de 2023, un período de tiempo que coincide con la primera infección conocida del 31 de mayo de 2023. Kaspersky detectó Milum por primera vez en agosto pasado.
El malware utiliza el cifrado de cifrado RC4 con una clave de 64 bits diferente para cada objetivo. También utiliza el formato JSON para datos de configuración y para comunicarse con servidores de control a través de HTTP POST. Los campos dentro de los datos JSON corresponden al lenguaje C++ y la extensión de archivo .exe. Esa pista llevó a los investigadores a plantear la hipótesis de que las versiones de malware basadas en otros idiomas están en proceso o posiblemente ya existen. Hasta la fecha, los investigadores han recolectado tres muestras casi idénticas, todas del mismo país no revelado.
La aplicación maliciosa existe como una ventana de barra de herramientas invisible. El malware implementa funciones en una amenaza separada. Los investigadores no pudieron acceder a los comandos de los servidores de control, pero al analizar los controladores de comandos en el malware, pudieron reconstruir lo siguiente:
| Código | Sentido | Características |
| 1 | Ejecución | Ejecute silenciosamente el comando del intérprete recibido y devuelva el resultado a través de la tubería |
| 2 | servidor a cliente | Descodifique el contenido recibido en el campo JSON de «datos» y colóquelo en el archivo mencionado en el campo «ruta» |
| 3 | Cliente a servidor | Codifique el archivo mencionado en el campo «ruta» del comando recibido para enviarlo |
| 4 | Información del archivo | Obtenga atributos de archivo: oculto, solo lectura, archivo, sistema o ejecutable |
| 5 | Limpiar | Generar y ejecutar secuencias de comandos por lotes para eliminarse a sí mismo |
| 6 | resultado del comando | Obtener el estado de ejecución del comando |
| 7 | Información del sistema | Valide el objetivo con la versión de Windows, la arquitectura (32 o 64 bits), el host y el nombre de usuario, los productos de seguridad instalados (con la solicitud WQL «Seleccione del producto antivirus DONDE displayName «Windows Defender») |
| 8 | lista de directorio | Obtenga información sobre los archivos en el directorio: oculto, solo lectura, archivo, sistema o ejecutable |
| 9 | Actualizar | Obtenga la nueva versión y elimine la anterior |
Cuando los investigadores tomaron el control de uno de los servidores de control de la campaña, observaron que la mayoría de las computadoras ubicadas en el Medio Oriente se conectaban. (Los investigadores creen que las direcciones IP no ubicadas en el Medio Oriente pertenecían a escáneres de red, nodos Tor Exit y conexiones VPN). Algunas de esas direcciones IP del Medio Oriente pertenecían a organizaciones que ocupaban los sectores industriales. Milum recibe su nombre de una cadena que se encuentra en uno de los nombres de los archivos ejecutables, así como de los nombres de las clases de C++ dentro del malware.
Laboratorio Kaspersky
La captura de pantalla anterior de una computadora Kaspersky que se conecta al servidor de control hundido mostraba solo dispositivos con conexión en Irán. La publicación del martes no identificó los países de otras organizaciones infectadas.
Durante la última década, el Medio Oriente se ha convertido en un punto de acceso para las operaciones de piratería, con (para nombrar solo cuatro) un ataque dirigido a los controles de seguridad en instalaciones de infraestructura crítica, una operación supuestamente estadounidense que obstaculizó la capacidad de Irán para atacar a los petroleros, un disco destructivo -campaña de limpieza contra una compañía de gas de Arabia Saudita, y el malware Stuxnet y Flame que apuntó a Irán. El descubrimiento de WildPressure y Milum sugiere que no es probable que los ataques en la región desaparezcan en el corto plazo.
