El infame colectivo de hackers ruso, conocido como APT28, ahora está utilizando un legítimo microsoft Función de Windows para implementar ladrones de información y otro malware en sus víctimas.
Esto es según un nuevo artículo de ciberseguridad de IBM. brazoX-Force, que afirma que la campaña ha estado activa entre noviembre del año pasado y febrero de este año, Las noticias de los piratas informáticos informes.
Según el informe, los atacantes (también conocidos como Fancy Bear, Forest Tormenta de nieve, o ITG05) se hacen pasar por organizaciones gubernamentales y ONG en Europa, el Cáucaso Meridional, Asia Central y América del Norte y del Sur, y se comunican con sus víctimas por correo electrónico. Los correos electrónicos contienen archivos PDF armados.
Robar información confidencial
Los archivos PDF vienen con URL que conducen a sitios web comprometidos, que pueden abusar del controlador del protocolo URI “search-ms:”, así como del protocolo de aplicación “search:”. El controlador permite que las aplicaciones y los enlaces HTML inicien búsquedas locales personalizadas en un dispositivo, mientras que el protocolo sirve como mecanismo para llamar a la aplicación de búsqueda de escritorio en Windows.
Como resultado, las víctimas terminan realizando búsquedas en un servidor controlado por el atacante y mostrando malware en el Explorador de Windows. Este malware se disfraza como un archivo PDF, que se invita a las víctimas a descargar y ejecutar.
El malware está alojado en servidores WebDAV que probablemente estén alojados en enrutadores Ubiquiti comprometidos. Estos enrutadores formaban parte de una botnet que aparentemente fue eliminada por el gobierno de EE. UU. el mes pasado, informa The Hacker News.
No sabemos quiénes son las víctimas, pero es seguro asumir que son de los mismos países que el gobierno y las ONG suplantadas en los ataques: Argentina, Ucrania, Georgia, Bielorrusia, Kazajstán, Polonia, Armenia, Azerbaiyán, y los estados unidos
Aquellos que caen en el truco terminan instalando MASEPIE, OCEANMAP y STEELHOOK, malware diseñado para filtrar archivos, ejecutar comandos arbitrarios y robar datos del navegador. «ITG05 sigue adaptándose a los cambios de oportunidades al ofrecer nuevas metodologías de infección y aprovechar la infraestructura disponible comercialmente, al tiempo que evoluciona constantemente las capacidades de malware», concluyeron los investigadores.