El Departamento de Defensa y el Departamento de Seguridad Nacional han publicado un aviso de seguridad conjunto sobre un nuevo malware denominado “SlothfulMedia”, que se está utilizando en ataques en curso.
Según el informe, SlothfulMedia es un ladrón de información capaz de registrar las pulsaciones de teclas de las víctimas y modificar archivos, que "ha sido utilizado por un ciber actor sofisticado". Las dos agencias no revelaron el nombre del actor de amenazas en cuestión. El informe tampoco menciona el alcance de los ataques ni los países objetivo, pero, según CyberScoop, la campaña maliciosa ha estado dirigida a objetivos en India, Kazajstán, Kirguistán, Malasia, Rusia y Ucrania.
El malware SlothfulMedia despliega dos archivos cuando se ejecuta. El primer archivo es una herramienta de acceso remoto (RAT) llamada mediaplayer.exe, que está diseñada para el comando y control (C2) de los sistemas informáticos de las víctimas. El RAT puede terminar procesos, ejecutar comandos arbitrarios, tomar capturas de pantalla, modificar el registro y modificar archivos en las máquinas víctimas. Se comunica con su servidor de comando y control mediante el Protocolo de transferencia de hipertexto (HTTP) sobre el Protocolo de control de transmisión (TCP).
El segundo archivo elimina el cuentagotas después de que el RAT gana persistencia en el sistema de la víctima mediante el servicio "Marco de tareas", que asegura que el RAT se cargue después del reinicio.
Las agencias también cargaron la muestra de malware en el repositorio de intercambio de malware en VirusTotal.
https://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a
