Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
NoticiasUn ataque de phishing dirigido a secretos marítimos y militares
Obanla Opeyemi
24 de febrero de 2023 - Equipo de expertos TuxCare
Según investigadores de Blackberry, una nueva campaña de phishing apodada "NewsPenguin" lleva meses teniendo como objetivo el complejo militar-industrial de Pakistán, utilizando una herramienta de malware avanzada para robar información sensible. La campaña, que se cree que está patrocinada por el Estado, lleva en marcha al menos desde diciembre de 2022.
"El atacante envió correos electrónicos de phishing dirigidos con un documento armado adjunto que pretende ser un manual de expositor para PIMEC-23", dijo el Equipo de Investigación e Inteligencia de BlackBerry.
PIMEC, siglas de Exposición y Conferencia Marítima Internacional de Pakistán, es una iniciativa de la Marina de Pakistán organizada por el Ministerio de Asuntos Marítimos con el objetivo de "impulsar el desarrollo del sector marítimo". La campaña parecía estar más preocupada por recabar información y exfiltrar datos que por causar daños inmediatos a las víctimas.
La campaña emplea sofisticados conjuntos de herramientas diseñados para evitar ser detectados por las medidas de seguridad tradicionales. El malware y los troyanos de acceso remoto (RAT) del conjunto de herramientas se utilizaban para acceder a los sistemas de las víctimas y robar datos confidenciales. Newspenguin emplea diversas técnicas para eludir la detección, como el uso de cargas útiles cifradas y la generación dinámica de dominios para las comunicaciones de mando y control (C2).
Los atacantes utilizaron malware de la familia "Zodiac", conocido por su capacidad para evitar ser detectado por el software antivirus. Además, los atacantes utilizaron "IceLog", un keylogger utilizado para robar información sensible, y "Gh0stRAT", una herramienta de acceso remoto que permitió a los atacantes tomar el control del sistema de la víctima. Los atacantes también emplean el malware Glacier, diseñado para evitar ser detectado por las soluciones antivirus tradicionales.
Mientras que los investigadores de Blackberry creen que Newspenguin está utilizando una nueva cepa de malware conocida como "PenguSpy". Este malware está diseñado para evitar la detección y recopilar información de los sistemas infectados, incluido el robo de contraseñas y la captura de pantallas.
Incluye un documento "Important Document.doc" que utiliza una técnica de inyección remota de plantillas. Cuando el objetivo lo abre, recupera la muestra de la siguiente fase desde hxxp[:]/windowsupdates[.]shop/test[.]dotx. El dominio se había resuelto a 51.222.103[.] cuando lo descubrimos. 8. El servidor de carga maliciosa está configurado para que sólo devuelva el archivo si la dirección IP del usuario está dentro del rango de IP de Pakistán. Cuando la víctima hace clic en "Activar contenido", se ejecuta un código de macro VBA. El código de macro VBA malicioso guarda el archivo "test.dotx" como "abc.wsf" en la carpeta "C:WindowsTasks" del usuario.
A continuación, el script determina si la máquina infectada ejecuta Windows® 7 o 10 y guarda la versión como nombre de trabajo para la siguiente instrucción.
Las fuentes de este artículo incluyen un artículo en DarkReading.
Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=ycO6hVmt5R4&t=6s
