Los investigadores de seguridad han detectado que un grupo de piratería llamado StrongPity está llevando a cabo un ataque continuo utilizando archivos de spyware. Los resultados muestran que esta campaña en particular parece estar enfocada contra objetivos kurdos que están presentes en estos países..
Anfitriones de Turquía y Siria dirigidos por hackers experimentados de StrongPity que utilizan software espía modificado
El spyware que se usa como herramienta de infiltración es una versión modificada del malware previamente detectado. Ahora incluyen funcionalidades más nuevas y canales de código que reflejan el hecho de que los delincuentes tienen experiencia.
Los piratas informáticos se han centrado en preseleccionar sus objetivos para que representen las computadoras y las redes que son propiedad y utilizadas por los kurdos.. Esto muestra claramente que esta campaña es Politicamente motivado. Las marcas de tiempo que están integradas en los archivos capturados indican que coinciden con Octubre 1 2019. Esto puede referirse a dos cosas — la fecha de compilación de las herramientas o el comienzo de Opertion Peace Spring — las acciones militares turcas en Siria que usaron este nombre en clave. Todo esto muestra que es posible que la campaña sea patrocinada por el estado..
Las infecciones se realizan preseleccionando los servidores de destino y luego lanzando un virus troyano peligroso contra ellos.. Las versiones modificadas de los troyanos se entregarán a través de un ataque llamado abrevadero. Se llevan a cabo seleccionando sitios web comúnmente visitados que serán pirateados y redirigidos a una página de destino controlada por piratas informáticos. Esto activará la descarga de un paquete de aplicaciones o archivos ejecutables directos. Estos archivos están firmados digitalmente con certificados autofirmados que aparecerán como un software legítimo. También se agregan claves de cifrado para ocultar los cuentagotas de los análisis de seguridad ordinarios. Los paquetes de software infectados de ejemplo incluyen ejemplos como los siguientes:
- Programas de archivo — 7-Zip y WinRAR
- Software de seguridad — Escaneo de Seguridad Plus de McAfee
- Aplicaciones de recuperación de archivos — Recuva
- Aplicaciones de conexión remota — TeamViewer
- Aplicaciones de chat — WhatsApp
- Utilidades del sistema — CCleaner piriforme, CleverFiles, Disk Drill, DAEMON Tools Lite, Glary Utilities y RAR Password Unlocker
Cuando se ejecutan los droppers, el código malicioso se iniciará e interactuará con los servidores controlados por piratas informáticos al recuperar la segunda etapa de las herramientas de spyware de ellos..
Los piratas informáticos StrongPity incluyen capacidades avanzadas en el software espía
Cuando las víctimas hayan utilizado los archivos de spyware relevantes, esto conducirá a despliegue de 4 archivos: el archivo de configuración de software legítimo, lanzador y su componente de instalación persistente relevante, el componente de secuestro de datos y un buscador de archivos.
El troyano primero cargará la instalación de software legítima real para que los usuarios víctimas no sospechen ninguna acción potencialmente peligrosa.. Sin embargo Mientras tanto, el código del virus se iniciará en segundo plano.. Los componentes de malware se entregan en forma cifrada y se extraen cuando es necesario acceder a ellos en secciones que los protegerán de posibles escaneos de seguridad.
El componente iniciador del spyware se entregará a la carpeta SYSTEM desde aquí, iniciará un servicio propio. Las muestras recopiladas muestran que el malware suplantará un servicio del sistema operativo en ejecución, como Cola de impresión o Servidor de mantenimiento de registro. Una acción relacionada es la instalación de la amenaza en un estado persistente. Esto significa que el código del virus y todos los componentes relacionados se iniciarán automáticamente cuando se encienda la computadora.
El recopilación de datos el módulo se ejecutará junto al buscador de archivos componente para encontrar archivos que los hackers puedan considerar sensibles. Esto incluye información personal del usuario y datos de la máquina que se enviarán a los delincuentes mediante una conexión de red..
Dadas estas capacidades, es muy posible que el código se pueda modificar para incluir otras funciones como las siguientes:
- La instalación de malware adicional — Durante el proceso de infiltración, las herramientas de spyware se pueden programar para entregar e instalar código de malware en todas las principales categorías de virus. Esto puede incluir totalmente capaz Troyanos que están diseñados para superar el control de las máquinas víctimas y robar datos confidenciales contenidos en ellas. Las amenazas web a menudo conllevan mineros criptomoneda también: descargarán y ejecutarán una secuencia de tareas complejas de alto rendimiento. Aprovecharán los componentes de hardware más importantes.: UPC, Memoria, Gráficos, espacio en disco duro, GPU y velocidad de red. Por cada tarea completada y reportada, los piratas informáticos recibirán criptomonedas como recompensa.. Otro posible malware que se puede instalar sería un virus de ransomware — procesarán los datos del usuario de acuerdo con una lista incorporada de extensiones de tipo de archivo de destino. Se cifrarán, lo que hará que lo inaccesible. Luego serán extorsionados para pagar una tarifa de descifrado.
- Los cambios del sistema — Los delincuentes también pueden implementar manipulación avanzada del sistema, incluida la modificación de archivos de configuración y cambios en el Registro de Windows. Esto puede hacer que sea imposible iniciar ciertos servicios y también puede generar errores inesperados y problemas más amplios del sistema..
- Reclutamiento botnet — En algunos casos, los hosts contaminados pueden ser reclutados a una red mundial de computadoras conectadas. Su poder colectivo se puede aprovechar para ataques a gran escala que se pueden concentrar en una sola computadora objetivo. El tipo de ataque más común es el de denegación de servicio distribuido campañas que derribarán los sitios objetivo.
Se espera que tales campañas específicas continúen a medida que los grupos de piratería avanzada estén motivados políticamente y utilicen investigaciones preliminares sobre las redes de víctimas previstas..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: