Los investigadores de seguridad detectaron una nueva campaña de malware masivo asociada con el cargador Manuscrpypt previamente conocido, que forma parte del arsenal del grupo Lazarus APT. El descubrimiento proviene de la Lista segura de Kaspersky.
"Curiosamente, el canal de exfiltración de datos del malware utiliza una implementación del protocolo KCP que anteriormente se había visto en la naturaleza solo como parte del conjunto de herramientas del grupo APT41. Denominamos al malware recientemente identificado PseudoManuscrypt,"Los investigadores de Secure List dijeron.
¿Qué es el malware PseudoManuscrypt??
El cargador de malware recién detectado utiliza un MaaS (el malware-as-a-service) plataforma para distribuir sus cargas útiles maliciosas en archivos de instalación de software pirateados. Una forma en que el malware se distribuye a sí mismo en un sistema es a través de la conocida botnet Glupteba.. Dado que tanto Glupteba como PseudoManuscrypt se basan en software pirateado para propagarse, los investigadores creen que la campaña no está dirigida y es más bien a gran escala.
Desde enero 2020 a noviembre 10 2021, más que 35,000 Se bloquearon instancias del malware en computadoras de todo el mundo.. Cabe señalar que este tipo de ataque no es típico del grupo Lazarus APT, principalmente conocido por sus ataques dirigidos.
¿Quién se apunta? Los objetivos del malware PseudoManuscrypt incluyen una gran cantidad de organizaciones industriales y gubernamentales, como empresas en el complejo militar-industrial y laboratorios de investigación, el informe dijo.
La telemetría revela que al menos 7.2% de todas las máquinas comprometidas por el malware PseudoManuscrypt son parte de los sistemas de control industrial (ICS) que las organizaciones utilizan en diversas industrias, como Ingeniería, Automatización de edificios, Energía, Fabricación, Construcción, Utilidades, y gestión del agua.
¿Cuál es el propósito de PseudoManuscrypt?? El módulo principal de malware parece estar diseñado para amplias funcionalidades de software espía.. Es capaz de recolectar datos de conexión VPN., registro de pulsaciones de teclas, captura de capturas de pantalla y videos, grabar sonido con el micrófono, robar datos del portapapeles y datos de registro de eventos del sistema operativo, entre otros. En una palabra, los atacantes pueden tener el control total del sistema comprometido.
FinSpy es otro software espía de gran capacidad
En septiembre 2021, Kaspersky detectó otro software espía de alta capacidad en la naturaleza. Los investigadores habían estado siguiendo el desarrollo de FinSpy desde 2011, con una inexplicable disminución en su tasa de detección para Windows en 2018. Fue entonces cuando el equipo comenzó a detectar instaladores sospechosos de aplicaciones legítimas., con puerta trasera con un descargador ofuscado relativamente pequeño.
FinSpy se ha descrito como un software espía altamente modular, que tiene mucho trabajo en. Los actores de amenazas detrás de él han hecho todo lo posible para hacerlo inaccesible para los investigadores de seguridad.. Este esfuerzo es preocupante e impresionante. La misma cantidad de esfuerzo se ha puesto en ofuscación, anti-análisis, y el propio troyano.