Los investigadores de seguridad han descubierto una sofisticada campaña de ataque a la cadena de suministro que se originó en la vulneración de un ISP anónimo. Volexity dijo que el grupo StormBamboo (también conocido como Evasive Panda, Daggerfly, StormCloud), alineado con China, utilizó su presencia en el ISP para lanzar ataques de envenenamiento de DNS contra clientes seleccionados. “Volexity determinó que StormBamboo estaba alterando las respuestas de las consultas de DNS para dominios específicos vinculados a mecanismos de actualización automática de software. StormBamboo parecía apuntar a software que utilizaba mecanismos de actualización inseguros, como HTTP, y no validaba correctamente las firmas digitales de los instaladores”, explicó. “Por lo tanto, cuando estas aplicaciones iban a recuperar sus actualizaciones, en lugar de instalar la actualización prevista, instalaban malware, incluidos, entre otros, MACMA y POCOSTICK (también conocido como MGBot)”. MACMA es un malware de puerta trasera para macOS, mientras que MGBot funciona en sistemas Windows. Lea más sobre ataques basados ​​en DNS: el 72% de las organizaciones experimentaron un ataque DNS en el último año El grupo apuntó a varios proveedores que utilizan flujos de trabajo de actualización inseguros de esta manera, incluido el software de reproducción multimedia 5KPlayer. Redirigiría la solicitud de actualización HTTP legítima de la aplicación a un servidor de comando y control bajo su control que alberga un archivo de texto falsificado y un instalador malicioso, explicó Volexity. En una ocasión, los investigadores observaron que StormBamboo implementaba una extensión maliciosa de Chrome en la máquina de una víctima comprometida. Estaba diseñada para exfiltrar cookies del navegador a una cuenta de Google Drive bajo el control del grupo. Afortunadamente, Volexity notificó al ISP en cuestión, que investigó los dispositivos que brindaban servicios de enrutamiento de tráfico en su red. «Cuando el ISP se reinició y desconectó varios componentes de la red, el envenenamiento de DNS se detuvo de inmediato», dijo Volexity. «Durante este tiempo, no fue posible identificar un dispositivo específico que estuviera comprometido, pero varios componentes de la infraestructura se actualizaron o se dejaron fuera de línea y la actividad cesó».