Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle que secuestra la funcionalidad y la infraestructura de un software razonable llamado Cobra DocGuard.
“Speagle está diseñado para recoger subrepticiamente información confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltración de datos como comunicaciones legítimas entre el cliente y el servidor”, dijeron investigadores de Symantec y Carbon Black en un documentación publicado hoy.
Cobra DocGuard es una plataforma de secreto y seguridad de documentos desarrollada por EsafeNet. El extralimitación de este software en ataques del mundo vivo se ha registrado públicamente dos veces hasta la momento. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar en Hong Kong se vio comprometida en septiembre de 2022 mediante una aggiornamento maliciosa impulsada por el software.
Más tarde, en agosto, Symantec destacó la actividad de un nuevo asociación de amenazas con nombre en código Carderbee, que se encontró usando una interpretación troyanizada del software para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques tuvieron como objetivo múltiples organizaciones en Hong Kong y otros países asiáticos.
Speagle permanece sin atribuir hasta la momento. Pero lo que hace que el malware sea digno de mención es que está diseñado para compendiar y filtrar datos nada más de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se rastrea bajo el nombre de Runningcrab.
“Esto indica un objetivo deliberado, posiblemente para proporcionar la compendio de inteligencia o el espionaje industrial”, dijeron los equipos de caza de amenazas propiedad de Broadcom. “En la hogaño, creemos que las hipótesis más probables son que se comercio del trabajo de un actor patrocinado por el Estado o de un contratista privado adecuado para contratar”.
Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que pudo poseer sido realizado a través de un ataque a la prisión de suministro, como lo demuestran los dos casos ayer mencionados.
Por otra parte, merece una mención el papel central que juega el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor Cobra DocGuard razonable para comando y control (C2) y como punto de exfiltración de datos, sino que igualmente invoca un regulador asociado con el software para eliminarse del host comprometido.
El ejecutable .NET de 32 bits, una vez iniciado, primero verifica la carpeta de instalación de Cobra DocGuard y luego procede a compendiar y transmitir datos desde la máquina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas específicas, como aquellas que contienen el historial del navegador web y datos de autocompletar.
Es más, se ha descubierto que una transformación de Speagle incorpora funcionalidad adicional para activar/desactivar ciertos tipos de compendio de datos, así como averiguar archivos relacionados con misiles balísticos chinos como Dongfeng-27 (igualmente conocido como DF-27).
“Speagle es una nueva amenaza parasitaria que utiliza inteligentemente el cliente de Cobra DocGuard para velar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración”, dijeron los investigadores. “Sin duda, su desarrollador se dio cuenta de ataques anteriores a la prisión de suministro utilizando el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su suscripción tasa de uso entre las organizaciones objetivo”.
