el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaThe Mask APT resurge con un sofisticado arsenal de malware multiplataforma

The Mask APT resurge con un sofisticado arsenal de malware multiplataforma

Un actor de ciberespionaje poco conocido conocido como La máscara se ha relacionado con un nuevo conjunto de ataques dirigidos a una ordenamiento anónima en América Latina dos veces en 2019 y 2022.

«La Mask APT es un actor de amenazas utópico que ha estado realizando ataques enormemente sofisticados desde al menos 2007», dijeron los investigadores de Kaspersky Georgy Kucherin y Marc Rivero en un prospección publicado la semana pasada. «Sus objetivos suelen ser organizaciones de parada perfil, como gobiernos, entidades diplomáticas e instituciones de investigación».

Todavía conocido como Careto, el actor de amenazas fue documentado previamente por la compañía rusa de ciberseguridad hace más de una lapso, en febrero de 2014, por suceder atacado a más de 380 víctimas únicas desde 2007. Actualmente se desconocen los orígenes del clan de piratas informáticos.

El paso auténtico a las redes de destino se facilita mediante correos electrónicos de phishing que incorporan enlaces a un sitio web taimado que están diseñados para activar exploits de día cero basados ​​en el navegador para infectar al visitante (por ejemplo, CVE-2012-0773), posteriormente de lo cual son redirigido a sitios benignos como YouTube o un portal de noticiero.

Todavía hay evidencia que sugiere que los actores de amenazas han desarrollado un completo conjunto de malware capaz de apuntar a Windows, macOS, Android e iOS.

Kaspersky dijo que identificó a The Mask apuntando a una ordenamiento latinoamericana en 2022, utilizando un método aún indeterminado para afianzarse y persistir la persistencia mediante el uso de un componente de correo web de MDaemon llamado WorldClient.

«El método de persistencia utilizado por el actor de amenazas se basó en WorldClient, que permite cargar extensiones que manejan solicitudes HTTP personalizadas de los clientes al servidor de correo electrónico», dijeron los investigadores.

Leer  Los piratas informáticos aprovechan la vulnerabilidad del controlador Aviatrix para implementar puertas traseras y criptomineros

Se dice que el actor de amenazas compiló su propia extensión y la configuró agregando entradas maliciosas en el archivo WorldClient.ini especificando la ruta a la extensión DLL.

La extensión maliciosa está diseñada para ejecutar comandos que permiten el inspección, las interacciones del sistema de archivos y la ejecución de cargas avíos adicionales. En el ataque de 2022, el adversario utilizó este método para propagarse a otras computadoras adentro de la red de la ordenamiento y propalar un implante denominado FakeHMP («hmpalert.dll»).

Esto se logra mediante un compensador razonable del software HitmanPro Alert («hmpalert.sys») aprovechando el hecho de que no puede probar la legalidad de las DLL que carga, lo que permite inyectar el malware en sitios privilegiados. procesos durante el inicio del sistema.

La puerta trasera admite una amplia escala de funciones para conseguir a archivos, registrar pulsaciones de teclas e implementar más malware en el host comprometido. Algunas de las otras herramientas entregadas a los sistemas comprometidos incluían una grabadora de micrófono y un caco de archivos.

La investigación de la empresa de ciberseguridad encontró encima que la misma ordenamiento fue sometida a un ataque susodicho en 2019 que implicó el uso de dos marcos de malware con nombres en código Careto2 y Goreto.

Careto2 es una traducción actualizada del situación modular observado entre 2007 y 2013 que aprovecha varios complementos para tomar capturas de pantalla, monitorear modificaciones de archivos en carpetas específicas y filtrar datos a un almacenamiento Microsoft OneDrive controlado por un atacante.

Goreto, por otro flanco, es un conjunto de herramientas basado en Golang que se conecta periódicamente a un almacenamiento de Google Drive para recuperar comandos y ejecutarlos en la máquina. Esto incluye cargar y descargar archivos, inquirir y ejecutar cargas avíos desde Google Drive y ejecutar un comando de shell específico. Adicionalmente, Goreto incorpora funciones para capturar pulsaciones de teclas y capturas de pantalla.

Leer  Presentamos nuestra plataforma de sistema operativo de extremo a extremo

Eso no es todo. Todavía se ha detectado que los actores de amenazas utilizan el compensador «hmpalert.sys» para infectar la máquina de un individuo u ordenamiento no identificada a principios de 2024.

«Careto es capaz de inventar técnicas de infección extraordinarias, como la persistencia a través del servidor de correo electrónico MDaemon o la carga de implantes a través del compensador HitmanPro Alert, así como desarrollar malware confuso de múltiples componentes», dijo Kaspersky.

El más popular

spot_img