Los investigadores de Kaspersky han publicado un informe detallado que arroja luz sobre la actividad de un nuevo actor de amenazas conocido como DeathStalker, que se ha dirigido a las pequeñas y medianas empresas de todo el mundo desde al menos 2012.
Los investigadores dicen que el grupo no parece estar motivado por ganancias financieras, ya que no implementan ransomware ni roban datos de pago, ni participan en ningún tipo de actividad común para los ciberdelincuentes. En cambio, DeathStalker se centra en datos comerciales confidenciales, lo que podría significar que el actor de amenazas ofrece servicios de piratas informáticos a sueldo o actúa como una especie de "intermediario de información" en los círculos financieros.
Kaspersky ha estado rastreando al grupo desde 2018. DeathStalker llamó la atención de la empresa con un implante basado en PowerShell llamado Powersing, que permite a los piratas informáticos afianzarse en el sistema de la víctima para lanzar herramientas adicionales.
La etapa inicial del ataque implica que los atacantes envíen correos electrónicos de spear phishing a un empleado de una organización objetivo. Una vez que la red se ve comprometida, los piratas informáticos envían un archivo LNK malicioso disfrazado de documento inocuo en formato PDF, DOC o DOCX. En realidad, este archivo LNK es un acceso directo que inicia el intérprete de línea de comandos del sistema, cmd.exe, y lo usa para ejecutar un script malicioso.
Los investigadores notaron que el script malicioso no contiene la dirección del servidor de control y comando de los atacantes, sino que accede a una publicación publicada en una plataforma pública que contiene información aparentemente sin sentido, que, de hecho, son datos encriptados diseñados para desencadenar la siguiente etapa del proceso. ataque.
El siguiente paso consiste en que los atacantes tomen el control de la computadora y coloquen un atajo malicioso en la carpeta de ejecución automática. Luego establecen una conexión con el servidor C&C real. Durante el ataque, el malware utiliza varias técnicas para eludir las medidas de seguridad implementadas. En caso de que identifique una solución antivirus en la computadora de destino, el malware puede cambiar de táctica o incluso deshabilitarse.
Aparte del malware Powersing, los investigadores de Kaspersky pudieron vincular la actividad de DeathStalker con dos familias de malware más, Evilnum y Janicab. El análisis de las similitudes de código y la victimología entre las tres familias de malware permitió a los investigadores vincularlos entre sí con una confianza media.
“Una descripción de los métodos y herramientas del grupo proporciona una buena ilustración de las amenazas que incluso una empresa relativamente pequeña puede enfrentar en el mundo moderno. Por supuesto, el grupo no es un actor de APT, y no utiliza trucos particularmente complicados. Sin embargo, sus herramientas están diseñadas para eludir muchas soluciones de seguridad ”, dijeron los investigadores.
%2014.04.55.png)
