Hacker
cibercrimen

Una nueva campaña de ciberespionaje apunta al gobierno ucraniano

El troyano de acceso remoto se llama Vermin e incluye la capacidad de hacer grabaciones de audio de sonido cerca del ordenador de la víctima y robar contraseñas.

Ciberataque teclado ordenador

La campaña ha sido detallada por investigadores de la compañía de seguridad ESET, quienes dicen que ha estado activa desde al menos octubre de 2015. El troyano de acceso remoto se llama Vermin y se entrega junto con otras dos malware: Sobaken RAT y Quasar RAT.  Una campaña de ciberespionaje apunta al gobierno ucraniano con un malware personalizado que crea una puerta trasera en los sistemas para robar datos, incluidas las credenciales de inicio de sesión y las grabaciones de audio de los alrededores.

Además de llevar a cabo las tareas habituales asociadas con los troyanos, como supervisar lo que sucede en la pantalla, descargar cargas adicionales y cargar archivos, también contiene un conjunto de comandos adicionales con el fin de comprometer completamente la máquina de la víctima.

Vermin, identificada por primera vez por Palo Alto Networks en enero y actualizada, también tiene la capacidad de robar archivos de una unidad USB. El malware controlará la unidad y robará los archivos que coincidan con el filtro elegido de los atacantes, que en su mayoría, aparece en los documentos.

Este ladrón de archivos USB se ha utilizado cada vez más como una herramienta independiente desde abril. Según investigadores de ESET, copia los archivos relevantes y los carga inmediatamente en el servidor de comando y control de los atacantes.

Además de Vermin, estos piratas también emplean troyanos Quasar y Sobaken. Quasar por ejemplo, es una forma de código abierto de malware equipada con una gama de comandos de puerta trasera para observar y robar desde un sistema infectado.

Sobaken es una versión modificada de Quasar a la que se le han eliminado varias capacidades. Sin embargo, debido a que esto significa que está empaquetado en un ejecutable más pequeño, es más fácil de ocultar: Sobaken también ha sido equipado con técnicas anti-sandboxing y evasión para ayudar a reducir las posibilidades de descubrimiento.

"Una posible explicación para usar tres cepas paralelas de malware es que cada cepa se desarrolla de forma independiente. Otra opción es probar diferentes cepas de malware con la esperanza de que una de ellas se salga de las defensas", dijo Kaspars Osis, investigador senior de malware de ESET.

Actualmente, no hay una clara atribución sobre quién podría estar detrás de los ataques, pero Ucrania ha estado en el punto de mira de los hackers rusos. Los procesos de auto-terminación en el malware también indican que los que están detrás de él no quieren que se escape al resto del mundo, al menos no todavía.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper