Las técnicas de piratería no necesitan ser particularmente avanzadas para tener éxito. Un buen ejemplo: el koala perezoso.
Los investigadores de ciberseguridad del Positive Technologies Expert Security Center (PT ESC) descubrieron recientemente un nuevo actor de amenazas, al que denominaron Lazy Koala. Nada en este grupo es particularmente progresista o sofisticado, pero está logrando resultados sobresalientes.
Según el informe, los atacantes tienen como objetivo empresas en Rusia y seis países de la Comunidad de Estados Independientes: Bielorrusia, Kazajstán, Uzbekistán, Kirguistán, Tayikistán y Armenia. Sus víctimas trabajan en agencias gubernamentales, organizaciones financieras e instituciones educativas, y en su mayoría solicitan credenciales de inicio de sesión para diversos servicios.
Exfiltración vía Telegram
Hasta ahora, casi 900 cuentas han sido comprometidas, dijeron los investigadores. No está claro qué están haciendo los atacantes con la información, pero es probable que la estén vendiendo en la web oscura o usándola en ataques posteriores y más devastadores.
Los ataques son simples: incluyen la elaboración de ataques de phishing convincentes, a menudo en idiomas nativos de la población local, y lograr que las víctimas descarguen y ejecuten el archivo adjunto. Los archivos que se distribuyen en estos ataques de phishing implementan un «ladrón de contraseñas primitivo». malware”.
Luego, el ladrón de información toma los archivos y los filtra a través de robots de Telegram. La persona que maneja estos bots se llama Koala, lo que le dio a PT ESC la idea detrás del nombre.
«La tarjeta de presentación del nuevo grupo es esta: ‘más difícil no significa mejor’. Lazy Koala no se preocupa por herramientas, tácticas y técnicas complejas, pero aun así hace el trabajo”, afirmó Denis Kuvshinov, jefe de análisis de amenazas del Centro de seguridad de expertos en tecnologías positivas.
«Después de instalarse en el dispositivo infectado, el malware extrae los datos robados utilizando Telegram, una herramienta favorita entre los atacantes», añadió Kuvshinov.
PT ESC dijo que notificó a las víctimas y agregó que la información robada en esta campaña probablemente se venderá en la web oscura.