En 2023, los investigadores de la firma de seguridad Kaspersky Lab comenzaron a rastrear «DeathStalker», el nombre de un grupo de piratas informáticos a sueldo que empleaba malware simple pero efectivo para espiar a firmas de abogados y empresas de la industria financiera. Ahora, los investigadores han vinculado al grupo con otras dos piezas de malware, incluida una que se remonta al menos a 2012.
DeathStalker llamó la atención de Kaspersky por su uso de malware que un compañero investigador denominó «Powersing». El malware recibió su nombre de un script de PowerShell de 900 líneas que los atacantes hicieron todo lo posible para ofuscar al software antivirus.
Los ataques comenzaron con correos electrónicos de phishing con archivos adjuntos que parecían ser documentos pero, a través de un juego de manos que involucraba archivos LNK, en realidad eran scripts maliciosos. Para evitar que los objetivos sospecharan, Powersing mostraba un documento señuelo tan pronto como los objetivos hacían clic en el archivo adjunto.
Además del truco de LNK, Powersing también intentó deshacerse de AV con el uso de «resoluciones de caída muerta». En efecto, se trataba de publicaciones en las redes sociales que el malware utilizaba para recopilar de forma encubierta la información crucial que necesitaba, como a qué servidores de Internet acceder y qué claves debería utilizar para descifrar su contenido. El Tweet a continuación es solo uno de los resolutores de caída muerta que usó.
Laboratorio Kaspersky
La primera cadena contenía la clave AES para descifrar el código que luego encontraría un número entero codificado en la segunda cadena. Luego, el código dividiría el número entero por una constante controlada por el atacante para llegar a la dirección IP donde la computadora infectada debía informar.
Internet nunca olvida
“Confiar en servicios públicos bien conocidos permite a los ciberdelincuentes combinar las comunicaciones iniciales de puerta trasera con el tráfico de red legítimo”, escribieron los investigadores de Kaspersky Lab Ivan Kwiatkowski, Pierre Delcher y Maher Yamout en una publicación publicada el lunes. Continuaron:
También limita lo que los defensores pueden hacer para obstaculizar sus operaciones, ya que estas plataformas generalmente no se pueden incluir en la lista de bloqueo a nivel de empresa, y eliminar contenido de ellas puede ser un proceso difícil y prolongado. Sin embargo, esto tiene un precio: Internet nunca olvida, y también es difícil para los ciberdelincuentes eliminar los rastros de sus operaciones. Gracias a los datos indexados o archivados por los motores de búsqueda, estimamos que Powersing se utilizó por primera vez alrededor de agosto de 2023.
El investigador que acuñó el nombre de Powersing especuló que el malware puede estar vinculado a una familia de malware diferente conocida como Janicab que se remonta al menos a 2012. Los investigadores de Kaspersky Lab analizaron una muestra de Janicab publicada en 2023 por el proveedor de antivirus F-Secure.
Descubrieron que Janicab también usó el mismo LNK y trucos de documentos de señuelo para acceder a la aplicación de comando de una computadora. También notaron que Janicab estableció conexiones con un video de YouTube no listado que usaba la misma matemática de números enteros para obtener información del servidor de control. Otras similitudes: ambas piezas de malware enviaban periódicamente capturas de pantalla capturadas desde el escritorio, ambas permitían la ejecución de scripts creados por atacantes y ambas usaban precisamente la misma lista de direcciones MAC para detectar máquinas virtuales que los investigadores de seguridad podrían usar en ingeniería inversa.
Entra Evilnum
Los investigadores de Kaspersky Lab analizaron una familia de malware más reciente conocida como Evilnum, que el proveedor de AV Eset detalló el mes pasado, que informó otra cadena de infección basada en LNK. Kaspersky Lab descubrió que usaba el mismo sistema de resolución de errores y los trucos matemáticos de números enteros para obtener las ubicaciones de los servidores de control. Otras similitudes fueron variables con nombres similares o idénticos, objetivos superpuestos.
La publicación del lunes resumió las similitudes de esta manera:
- Los tres se distribuyen a través de archivos LNK contenidos en archivos entregados a través de spear-phishing.
- Obtienen información de C&C de resolutores de caída muerta utilizando expresiones regulares y oraciones codificadas.
- Las direcciones IP se obtienen en forma de números enteros que luego se dividen por una constante codificada antes de convertirse
- Las superposiciones de códigos menores entre las tres familias de malware podrían indicar que han sido desarrollados por el mismo equipo o dentro de un grupo que comparte prácticas de desarrollo de software.
- Las tres familias de malware tienen capacidades de captura de pantalla. Si bien no es original en sí mismo, esto no suele ser parte de las prioridades de desarrollo de dichos grupos y podría ser indicativo de una especificación de diseño compartida.
- Finalmente, aunque no tenemos mucha información sobre la victimología de Janicab, Powersing y Evilnum buscan inteligencia comercial, aunque en diferentes sectores verticales de la industria. Ambos conjuntos de actividades son consistentes con la hipótesis de que están dirigidos por un grupo de mercenarios.
Las similitudes no son de ninguna manera una prueba irrefutable, dijeron los investigadores, pero juntas les dan a los investigadores una «confianza media» de que Powersing, Janicab y Evilnum son operados por el mismo grupo.
“En esta publicación de blog, describimos una cadena de infección moderna que todavía es utilizada y desarrollada activamente por un actor de amenazas en la actualidad”, concluyen los investigadores. “No contiene trucos innovadores ni métodos sofisticados, y ciertos componentes de la cadena pueden parecer innecesariamente enrevesados. Sin embargo, si la hipótesis es correcta de que el mismo grupo opera Janicab y Powersing, indica que han estado aprovechando las mismas metodologías desde 2012. En el mundo de la seguridad de la información, no hay nada más ‘probado y verdadero’ que esto».
![ESPN, otros canales propiedad de Disney regresan a YouTube TV [Updated]](https://marketingdecontenido.top/wp-content/uploads/2022/05/1653566294_ESPN-otros-canales-propiedad-de-Disney-regresan-a-YouTube-TV-390x220.jpg "ESPN, otros canales propiedad de Disney regresan a YouTube TV [Updated] 12")
