Los investigadores de seguridad han descubierto una nueva campaña de ciberespionaje altamente dirigida, que se cree está asociada a un grupo de piratería detrás del troyano de puerta trasera KHRAT y ha estado apuntando a organizaciones en el sudeste asiático.
Según investigadores de Palo Alto , el grupo de piratería, al que denominaron RANCOR, se ha encontrado utilizando dos nuevas familias de malware, PLAINTEE y DDKONG, para dirigirse a entidades políticas principalmente en Singapur y Camboya.
Sin embargo, en años anteriores, los actores de la amenaza detrás del troyano KHRAT supuestamente estaban vinculados a un grupo chino de ciberespionaje, conocido como DragonOK.
Mientras monitoreaban la infraestructura de C & C asociada con el troyano KHRAT, los investigadores identificaron múltiples variantes de estas dos familias de malware, donde PLAINTEE parece ser la última arma en el arsenal del grupo que usa un protocolo UDP personalizado para comunicarse con su servidor remoto de comando y control.
Para entregar tanto PLAINTEE como DDKONG, los atacantes usan mensajes spear phishing con diferentes vectores de infección, incluidas las macros maliciosas dentro de archivos de Microsoft Office Excel, HTA Loader y DLL Loader, que incluye archivos señuelo.
«Estos señuelos contienen detalles de artículos de noticias públicas enfocados principalmente en noticias y eventos políticos», explican los investigadores. «Además, estos documentos señuelo se alojan en sitios web legítimos, incluido un sitio web del gobierno perteneciente al Gobierno de Camboya y, al menos en un caso, Facebook».
Además, PLAINTEE descarga e instala complementos adicionales desde su servidor de C & C utilizando el mismo protocolo UDP personalizado que transmite datos en forma codificada.
«Estas familias hicieron uso de la comunicación de red personalizada para cargar y ejecutar varios complementos alojados por los atacantes», dicen los investigadores. «Especialmente el uso del malware PLAINTEE ‘de un protocolo UDP personalizado es raro y vale la pena considerarlo cuando se construyen detecciones heurísticas para malware desconocido».
Por otro lado, DDKONG ha estado en uso por el grupo de piratería desde febrero de 2017 y no tiene ningún protocolo de comunicación personalizado como PLAINTEE, aunque no está claro si un actor de amenaza o más solo utiliza este malware.
Según los investigadores, la carga final de ambas familias de malware sugiere que el objetivo de ambos es realizar un cibeespionaje en sus objetivos políticos; en lugar de robar dinero de sus objetivos.
Dado que el grupo RANCOR se dirige principalmente a usuarios no expertos en tecnología, siempre se recomienda desconfiar de cualquier documento no invitado enviado por correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique de manera adecuada la fuente.
Además, lo más importante es utilizar un software antivirus basado en el comportamiento que pueda detectar y bloquear dicho malware antes de que pueda infectar su dispositivo, y siempre mantenerlo actualizado junto con otras aplicaciones.
Fuente: Thehackernews.com