Investigadores de ciberseguridad han descubierto una nueva modificación de un conocido malware llamado LOTUSLITA que se distribuye a través de un tema relacionado con el sector bancario de la India.
“La puerta trasera se comunica con un servidor dinámico de comando y control basado en DNS a través de HTTPS y admite golpe remoto a shell, operaciones de archivos y establecimiento de sesiones, lo que indica un conjunto de capacidades continuas centradas en el espionaje en ocupación de objetivos motivados financieramente”, dijeron en un prospección los investigadores de Acronis Subhajeet Singha y Santiago Pontiroli.
El uso de LOTUSLITE se observó anteriormente en ataques de phishing dirigidos al gobierno de los EE. UU. y a entidades políticas utilizando señuelos asociados con los acontecimientos geopolíticos entre los EE. UU. y Venezuela. La actividad se atribuyó con un nivel de confianza medio a un liga de estados-nación chino identificado como Mustang Panda.
La última actividad señalada por Acronis implica la implementación de una interpretación evolucionada de LOTUSLITE que demuestra “mejoras incrementales” con respecto a su predecesor, lo que indica que sus operadores están manteniendo y refinando activamente el malware.
La desviación de la ola de ataques preliminar se relaciona con un pivote geográfico que se centra principalmente en el sector bancario de la India, mientras mantiene el resto del manual operante prácticamente limpio. El punto de partida del ataque es un archivo HTML compilado (CHM) que incorpora las cargas maliciosas (un ejecutable genuino y una DLL fraudulenta) yuxtapuesto con una página HTML que contiene una ventana emergente que solicita al afortunado que haga clic en “Sí”.
Este paso está diseñado para recuperar y ejecutar silenciosamente un malware JavaScript desde un servidor remoto (“cosmosmusic(.)com”), cuya responsabilidad principal es extraer y ejecutar el malware contenido internamente del archivo CHM mediante la carga colateral de DLL. La DLL (“dnx.onecore.dll”) es una interpretación actualizada de LOTUSLITE que se comunica con el dominio “editor.gleeze(.)com” para tomar comandos y filtrar datos de interés.
Un prospección más detallado de la campaña ha descubierto artefactos similares diseñados para atacar a entidades surcoreanas, específicamente individuos internamente de la comunidad política y diplomática.
“Creemos que el liga había estado apuntando a ciertas entidades pertenecientes a las comunidades diplomáticas y políticas de Corea del Sur y Estados Unidos, específicamente aquellas involucradas en asuntos de la península de Corea, discusiones políticas de Corea del Septentrión y diálogos de seguridad del Indo-Pacífico”, dijo Acronis.
“Lo que destaca es la ampliación de los objetivos del liga, desde entidades gubernamentales de EE. UU. con señuelos geopolíticos, hasta el sector bancario de la India a través de implantes integrados con referencias al HDFC Bank y ventanas emergentes disfrazadas de software bancario genuino, y ahora a círculos políticos de Corea del Sur y EE. UU. a través de la suplantación de una figura prominente en la diplomacia de la península de Corea, entregada a través de cuentas de Gmail falsificadas y puesta en número de Google Drive”.
