El grupo de piratería DeathStalker es un grupo de malware descubierto recientemente que se ha infiltrado en pequeñas y medianas empresas de todo el mundo.. La investigación muestra que su enfoque principal está en los establecimientos que operan en el sector financiero.. Surgió por primera vez hace unos años principalmente como un grupo de piratas informáticos para el fuego y ahora se ha convertido en un colectivo mucho más experimentado y peligroso..
El experimentado DeathStalker Hacking Grou lanza un ataque contra empresas financieras de todo el mundo
Los investigadores de seguridad informática indican que el grupo de piratería DeathStalker es el culpable de numerosas campañas de ataques de alto impacto.. Parecen estar enfocados en establecimientos financieros alrededor del mundo: los continentes conocidos que se han visto afectados hasta ahora incluyen Europa, Asia y América Latina. Desde el información disponible es evidente que han utilizado su experiencia acumulada para crear ataques de piratería con éxito.
Lo que sabemos es que el grupo ha sido contactado por varias partes para realizar intrusiones contra las redes objetivo para el pago.. Estos mercenarios criminales han estado activos desde 2018, posiblemente incluso 2012 y pueden estar vinculados a otros grupos de piratería. Se dieron a conocer en la comunidad de seguridad gracias al implante basado en PowerShell que han utilizado llamado Poder. Se distribuye principalmente a los objetivos a través de phishing Mensajes de correo electrónico SPAM que se preparan y envían a granel. Las víctimas recibirán un archivo LNK en el contenido o anexos. Está disfrazado de documento de oficina regular sin embargo, cuando se lance, ejecutará la carga útil de Powersing respectiva. Ejecutará una infiltración muy compleja de varias etapas en el sistema local..
El análisis de las muestras muestra que el implante se instalará como un virus persistente – -se ejecutará cuando la computadora esté encendida y también dificultará el acceso a las opciones de recuperación o seguir las guías de eliminación manual del usuario. También incluirá un Agente caballo de Troya que establecerá una conexión sólida con un servidor controlado por piratas informáticos y permitirá a los piratas informáticos tomar el control de las máquinas.
Esto prácticamente permite a los piratas informáticos espiar constantemente a las víctimas, incluida la capacidad de tomar capturas de pantalla automáticamente de la actividad de los usuarios y enviarlas a las víctimas.. También permite la ejecución de código arbitrario — esto permite no solo varios tipos de cambios en el sistema, sino también la capacidad de implementar otro malware.
Durante el ataque de piratería DeathStalker, el análisis de seguridad revela que los piratas informáticos han utilizado varios servicios públicos como resolutores de gota muerta — usándolos como hosts de contenido, los piratas informáticos pueden indicar al malware remoto que ejecute comandos o proporcione URL para las cargas útiles del malware. Están codificados en mensajes de texto plano como comunicación ordinaria., pero cada línea en realidad indica un código oculto que los virus locales pueden entender. Se ha encontrado que los scripts de Powersing PowerShell utilizan los siguientes:
Google , Imgur, Reddit, ShockChan, Tumblr, Gorjeo, YouTube y WordPress
Los expertos creen que esta sofisticada herramienta de piratería seguirá desarrollándose y utilizándose en los próximos ataques.. Todo esto muestra que los delincuentes informáticos están decididos a crear formas complejas de infectar a tantos objetivos como sea posible..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: