Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Group-IB descubre la trama APT SideWinder para robar criptomonedas
1 de marzo de 2023 - Equipo de RRPP de TuxCare
Group-IB ha descubierto recientemente una nueva campaña de phishing que se cree que es obra del famoso grupo chino de piratas informáticos patrocinado por el Estado, Sidewinder.
Se cree que los ataques, que comenzaron en enero de 2022 y siguen en curso, forman parte de una campaña de ciberespionaje de mayor envergadura destinada a robar datos confidenciales de organismos militares y gubernamentales, así como de empresas del sector privado.
Se cree que los ataques, que comenzaron en enero de 2022 y continúan hasta hoy, forman parte de una campaña de ciberespionaje de mayor envergadura destinada a robar datos confidenciales de organismos militares y gubernamentales, así como de empresas del sector privado. Los correos electrónicos de phishing son sofisticados y personalizados, y seducen a las víctimas para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados.
Tras infectar el ordenador de la víctima, los atacantes pueden acceder a información sensible como credenciales de inicio de sesión, archivos de correo electrónico y otros datos confidenciales. El grupo Sidewinder lleva activo al menos desde 2012 y se le ha relacionado con diversas operaciones de espionaje, como ataques contra gobiernos extranjeros, contratistas militares y de defensa y organizaciones de derechos humanos.
Según los investigadores, los atacantes intentaron robar las credenciales de los usuarios haciéndose pasar por una entrega aérea de la criptomoneda NCASH. Según ellos, NCASH se utiliza como método de pago en el ecosistema Nucleus Vision, que las tiendas minoristas en la India han estado utilizando. Según los investigadores, descubrieron un enlace de phishing relacionado con una entrega de criptomoneda.
A los usuarios que visitaban el enlace (http://5[.]2[.]79[.]135/project/project/index.html) se les pedía que se registraran para participar en un lanzamiento desde el aire y recibir tokens, aunque no se especificaba cuáles. El usuario activa un script login.php al pulsar el botón "Submit details", que los investigadores creen que el grupo está utilizando para seguir desarrollando este vector de ataque.
Group-IB también descubrió un tesoro de herramientas específicas de SideWinder, sólo algunas de las cuales habían sido descritas públicamente con anterioridad, escritas en diversos lenguajes de programación como C++, C#, Go, Python (script compilado) y VBScript.
SideWinder, la herramienta personalizada más reciente del grupo, forma parte de ese arsenal. StealerPy, un ladrón de información basado en Python que ya se ha utilizado en ataques de phishing contra organizaciones paquistaníes. El script puede extraer el historial de navegación de Google Chrome de la víctima, las credenciales guardadas, la lista de carpetas del directorio, así como metainformación y el contenido de archivos.docx,.pdf y.txt. Es una parte importante de la reputación del grupo por llevar a cabo "cientos de operaciones de espionaje en poco tiempo".
Los correos electrónicos de phishing son sofisticados y personalizados, y atraen a las víctimas para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados. Tras infectar el ordenador de la víctima, los atacantes pueden acceder a información sensible como credenciales de inicio de sesión, archivos de correo electrónico y otros datos confidenciales.
El grupo Sidewinder lleva activo al menos desde 2012 y se le ha relacionado con diversas operaciones de espionaje, entre ellas contra gobiernos extranjeros, contratistas militares y de defensa y organizaciones de derechos humanos. El grupo también ha estado vinculado a varias campañas de ciberespionaje en el Sudeste Asiático, incluidos ataques contra Vietnam, Filipinas y Camboya.
Los resultados no confirmaron si los intentos de SideWinder de comprometer a las víctimas tuvieron éxito.
Las fuentes de este artículo incluyen un artículo en DarkReading.
