05 de agosto de 2024Ravie LakshmananSeguridad de red / Inteligencia de amenazas Las organizaciones de Kazajstán son el objetivo de un grupo de actividades de amenazas denominado Bloody Wolf que distribuye un malware comercial llamado STRRAT (también conocido como Strigoi Master). «El programa, que se vende por tan solo 80 dólares en recursos clandestinos, permite a los adversarios tomar el control de las computadoras corporativas y secuestrar datos restringidos», dijo el proveedor de ciberseguridad BI.ZONE en un nuevo análisis. Los ciberataques emplean correos electrónicos de phishing como vector de acceso inicial, haciéndose pasar por el Ministerio de Finanzas de la República de Kazajstán y otras agencias para engañar a los destinatarios para que abran archivos adjuntos en formato PDF. El archivo pretende ser un aviso de incumplimiento y contiene enlaces a un archivo Java (JAR) malicioso, así como una guía de instalación para el intérprete de Java necesario para que funcione el malware. En un intento de legitimar el ataque, el segundo enlace lleva a una página web asociada al sitio web del gobierno del país que insta a los visitantes a instalar Java para garantizar que el portal esté operativo. El malware STRRAT, alojado en un sitio web que imita el sitio web del gobierno de Kazajstán («egov-kz[.]online»), establece la persistencia en el host de Windows mediante una modificación del Registro y ejecuta el archivo JAR cada 30 minutos. Además, se copia una copia del archivo JAR en la carpeta de inicio de Windows para garantizar que se inicie automáticamente después de reiniciar el sistema. Posteriormente, establece conexiones con un servidor Pastebin para extraer información confidencial de la máquina comprometida, incluidos detalles sobre la versión del sistema operativo y el software antivirus instalado, y datos de cuenta de Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook y Thunderbird. También está diseñado para recibir comandos adicionales del servidor para descargar y ejecutar más cargas útiles, registrar pulsaciones de teclas, ejecutar comandos utilizando cmd.exe o PowerShell, reiniciar o apagar el sistema, instalar un proxy y eliminarse a sí mismo. «El uso de tipos de archivos menos comunes como JAR permite a los atacantes eludir las defensas», dijo BI.ZONE. «El uso de servicios web legítimos como Pastebin para comunicarse con el sistema comprometido permite evadir las soluciones de seguridad de red». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.