La puerta trasera de malware personalizada BugSleep tiene capacidades de evasión, dice CheckpointAkshaya Asokan (asokan_akshaya) • 16 de julio de 2024 Imagen: Shutterstock Los piratas informáticos con vínculos con las agencias de inteligencia iraníes están implementando una nueva puerta trasera de malware que tiene capacidades de evasión avanzadas para atacar a las organizaciones de Oriente Medio. Ver también: Seminario web | Todo lo que puede hacer para combatir la ingeniería social y el phishing La puerta trasera de malware, denominada BugSleep, ha sido implementada por el grupo de amenazas iraní MuddyWater como parte de los correos electrónicos de phishing que comenzaron en mayo, dijo la firma de seguridad Checkpoint. La campaña se dirige específicamente a ciudades israelíes, así como a aerolíneas y periodistas, agregó Checkpoint. MuddyWater, también conocido como Mercury y Static Kitten, es un grupo de espionaje global con presuntos vínculos con el Ministerio de Inteligencia y Seguridad de Irán. Anteriormente, el grupo tenía como objetivo las telecomunicaciones, la defensa, los gobiernos locales y el petróleo y el gas natural a nivel mundial (ver: MuddyWater apunta a infraestructura crítica en Asia y Europa). La última campaña comenzó con actores de amenazas que enviaban señuelos de phishing específicos de la industria a las víctimas, como correos electrónicos pidiendo a los gobiernos locales israelíes que descargaran una nueva aplicación diseñada específicamente para ellos. Para entregar el archivo malicioso, MuddyWater primero compartió enlaces personalizados a la aplicación de intercambio de archivos Egnyte que contenía un archivo PDF como adjunto. Cuando una víctima abrió el archivo, se descargó un archivo zip en la computadora de la víctima, que luego descomprimió el malware BugSleep en el dispositivo objetivo. «Descubrimos que se estaban distribuyendo varias versiones del malware, con diferencias entre cada versión que mostraban mejoras y correcciones de errores (y, a veces, creaban nuevos errores). Estas actualizaciones, que se producen en intervalos cortos entre muestras, sugieren un enfoque de prueba y error», dijeron los investigadores. A pesar de que los actores de amenazas implementaron múltiples versiones de BugSleep, Checkpoint dijo que todas las variantes fueron diseñadas principalmente para evadir la detección. En una de las variantes, el malware evadió la detección y respuesta de los endpoints al evitar que el proceso cargara imágenes que no estuvieran firmadas por Microsoft, dijo Checkpoint. BugSleep luego implementó otra función para evitar que el proceso generara código dinámico o modificara el código ejecutable existente. Luego, el malware solicitó a los servidores de comando y control que enviaran datos exfiltrados, como los detalles del dispositivo objetivo. Dado que algunas de las muestras contenían varios errores, así como código sin usar, Checkpoint estima que los actores de la amenaza aún están desarrollando el malware. Además de las víctimas en Israel, los piratas informáticos también atacaron a organizaciones en Turquía, Arabia Saudita, India y Portugal. «El aumento de la actividad de MuddyWater en Medio Oriente, particularmente en Israel, resalta la naturaleza persistente de estos actores de amenazas. Su uso constante de campañas de phishing, que ahora incorporan una puerta trasera personalizada, BugSleep, marca un desarrollo notable en sus técnicas, tácticas y procedimientos», dijeron los investigadores. URL de la publicación original: https://www.databreachtoday.com/los-piratas-del-estado-iraní-están-implementando-un-nuevo-malware-de-puerta-trasera-a-25778