Investigadores de seguridad de Kasperski han publicado detalles sobre un nuevo marco de malware que han descubierto y vinculado al conocido grupo de piratas informáticos norcoreanos al que se rastrea como Lazarus.
Apodado "MATA", el nuevo malware es un marco integral diseñado para apuntar a los sistemas operativos Windows, Linux y macOS. El marco de malware MATA incluye varios componentes, como el cargador, el orquestador y los complementos.
Los artefactos encontrados indican que el marco MATA ha estado en uso desde abril de 2018 y se ha aprovechado en ataques contra entidades corporativas en todo el mundo.
Los investigadores identificaron a varias víctimas infectadas con MATA ubicadas en Polonia, Alemania, Turquía, Corea, Japón e India. La lista de víctimas incluye entidades de diversas industrias, como el desarrollo de software, comercio electrónico, telecomunicaciones.
“Evaluamos que MATA fue utilizada por un actor de APT, y de una víctima identificamos una de sus intenciones. Después de implementar el malware MATA y sus complementos, el actor intentó encontrar las bases de datos de la víctima y ejecutar varias consultas de la base de datos para adquirir listas de clientes. No estamos seguros si completaron la exfiltración de la base de datos de clientes, pero es seguro que las bases de datos de clientes de las víctimas son uno de sus intereses. Además, se utilizó MATA para distribuir el ransomware VHD a una víctima ", dijeron los investigadores.
El marco MATA viene en versiones para Windows, Linux y macOS. La versión de Windows consta de varios componentes, incluido el cargador, que se ha observado que carga la carga útil cifrada de la siguiente etapa, aunque los investigadores no pudieron determinar si la carga útil cargada es el malware del orquestador.
Se ha encontrado que la versión de Linux se distribuye a través de un sitio de distribución legítimo. Esta variante contiene un orquestador MATA de Windows, una herramienta de Linux para enumerar carpetas, scripts para explotar Atlassian Confluence Server (CVE-2019-3396), una herramienta legítima de socat y una versión de Linux del orquestador de MATA, junto con un conjunto de complementos, el Los investigadores dijeron.
En cuanto a la versión de macOS, viene en forma del archivo malicioso Apple Disk Image, que es una aplicación troyanizada de macOS basada en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP.
“El marco MATA es importante porque puede apuntar a múltiples plataformas: Windows, Linux y macOS. Además, el actor detrás de este marco avanzado de malware lo utilizó para un tipo de ataque de cibercrimen que roba las bases de datos de los clientes y distribuye ransomware. Evaluamos que este malware evolucionará, por lo que estaremos monitoreando su actividad para proteger a nuestros clientes ”, concluye Kaspersky.
