Hackers de Corea del Norte difunden versiones troyanizadas de la aplicación de cliente PuTTY

Se ha encontrado una amenaza con un nexo de Corea del Norte que aprovecha una "metodología novedosa de phishing de lanza" que implica el uso de versiones troyanizadas del cliente PuTTY SSH y Telnet.

La firma de inteligencia de amenazas propiedad de Google, Mandiant, atribuyó la nueva campaña a un grupo de amenazas emergentes que rastrea bajo el nombre UNC4034 .

"UNC4034 estableció comunicación con la víctima a través de WhatsApp y la atrajo para que descargara un paquete ISO malicioso con respecto a una oferta de trabajo falsa que condujo a la implementación de la puerta trasera AIRDRY.V2 a través de una instancia troyana de la utilidad PuTTY", dijeron los investigadores de Mandiant .

La utilización de señuelos laborales fabricados como vía para la distribución de malware es una táctica utilizada con frecuencia por actores patrocinados por el estado de Corea del Norte, incluido el Grupo Lazarus, como parte de una campaña duradera llamada Operation Dream Job .

El punto de entrada del ataque es un archivo ISO que se hace pasar por una evaluación de Amazon como parte de una posible oportunidad laboral en el gigante tecnológico. El archivo se compartió a través de WhatApp después de establecer el contacto inicial por correo electrónico.

hacks

El archivo, por su parte, contiene un archivo de texto que contiene una dirección IP y credenciales de inicio de sesión, y una versión alterada de PuTTY que, a su vez, carga un cuentagotas llamado DAVESHELL, que implementa una variante más nueva de una puerta trasera denominada AIRDRY.

Es probable que el actor de amenazas haya convencido a la víctima para que inicie una sesión de PuTTY y use las credenciales provistas en el archivo TXT para conectarse al host remoto, activando efectivamente la infección.

AIRDRY, también conocido como BLINDINGCAN, ha sido utilizado en el pasado por piratas informáticos vinculados a Corea del Norte para atacar a contratistas y entidades de defensa estadounidenses en Corea del Sur y Letonia .

Si bien las versiones anteriores del malware venían con casi 30 comandos para la transferencia de archivos, la administración de archivos y la ejecución de comandos, se descubrió que la última versión evita el enfoque basado en comandos a favor de los complementos que se descargan y ejecutan en la memoria.

Mandiant dijo que pudo contener el compromiso antes de que pudieran llevarse a cabo más actividades posteriores a la explotación después del despliegue del implante.

El desarrollo es otra señal más de que el uso de archivos ISO para el acceso inicial está ganando terreno entre los actores de amenazas para entregar tanto malware básico como dirigido.

El cambio también se puede atribuir a la decisión de Microsoft de bloquear las macros de Excel 4.0 (XLM o XL4) y Visual Basic para aplicaciones (VBA) para las aplicaciones de Office descargadas de Internet de forma predeterminada.

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies