Los investigadores atribuyeron los ataques a un grupo de amenaza llamado DustSquad. El malware se denomina Octopus en función del script 0ct0pus3.php que se encuentra en uno de sus antiguos servidores de comando y control (C&C).
Las víctimas fueron atraídas para descargar el troyano de Windows activando lo que pensaron que era una versión de Telegram, una popular aplicación de mensajería. La ingeniería social es el método de distribución más probable; según los investigadores, Telegram enfrentó una posible prohibición en Kazajstán, que podría haber alentado a los usuarios a descargarla mientras aún estaba disponible.
¿Cómo se infiltra Octopus en las redes?
La aplicación falsa de Telegram no funciona, lo que sugiere que el malware se creó a toda prisa, señalaron los investigadores. Después de algunas comprobaciones de conexión iniciales, Octopus se conecta al módulo de red y desarrolla un hash de datos del sistema que actúa como una especie de huella digital para realizar un seguimiento de su víctima mientras ejecuta varios comandos y roba información.
Octopus tiene algunas características inusuales, incluido el uso del lenguaje de programación Delphi. También aprovecha el proyecto Indy para ejecutar JSON y transmitir datos a su servidor C&C y comprime los datos con TurboPower Abbrevia.
Los investigadores informaron que algunas de las mismas víctimas que habían sido infectadas con el troyano de Windows también fueron atacadas con otros ataques, como DroppingElephant, Zebrocy y StrongPity. La campaña en cuestión puede remontarse a cuatro años.
Un poco de protección contra phishing va por un largo camino
Si bien DustSquad puede perseguir a un grupo de víctimas bastante específico, su uso del malware Octopus es similar a la forma en que un troyano de Windows puede dirigirse a organizaciones en cualquier lugar. También muestra lo difícil que puede ser mantenerse al día con los cambios en las tácticas de phishing. Una aplicación de comunicaciones como Telegram, por ejemplo, ni siquiera habría existido hace unos años.
Los expertos en seguridad recomiendan invertir en herramientas avanzadas de phishing para examinar continuamente los posibles riesgos a medida que surgen y responden cuando el malware gana persistencia en un sistema. Los equipos de seguridad también deben monitorear su entorno para los indicadores de compromiso (IoC) enumerados en el aviso de amenazas de IBM X-Force Exchange.
Fuente: Securityintelligence.com
