El actor de APT DeathStalker ataca a usuarios en Alemania y Suiza. Target del actor: empresas del sector financiero y legal. El nuevo backdoor "PowerPepper" utiliza varias técnicas de ofuscación.
Ahora se cree que el actor de amenazas persistentes avanzadas (APT), DeathStalker, ofrece servicios de piratería informática para robar información comercial confidencial de empresas de los sectores financiero y legal. Los expertos de Kaspersky ahora detectaron una nueva actividad del actor y descubrieron una nueva táctica de implantación y entrega de malware: la puerta trasera PowerPepper utiliza DNS sobre HTTPS como un canal de comunicación para ocultar la comunicación detrás de las consultas legítimas del nombre del servidor de control. Además, PowerPepper utiliza varias técnicas de ofuscación, como la esteganografía.
Dirigido a las pymes en particular
DeathStalker es un jugador APT muy inusual. El grupo, activo desde al menos 2012, realiza campañas de espionaje contra pequeñas y medianas empresas como bufetes de abogados o representantes del sector financiero. A diferencia de otros grupos APT, DeathStalker no parece estar motivado políticamente ni buscar ganancias financieras de las empresas objetivo. Más bien, los patrocinadores actúan como mercenarios y ofrecen sus servicios de piratería a cambio de una tarifa.
Los investigadores de Kaspersky ahora han descubierto una nueva campaña maliciosa del grupo que utiliza la puerta trasera PowerPepper. Al igual que otros programas maliciosos de DeathStalker, PowerPepper generalmente se distribuye mediante correos electrónicos de phishing selectivo, y los archivos maliciosos se entregan dentro del cuerpo del correo electrónico o dentro de un enlace malicioso. Para ello, el grupo ha utilizado los acontecimientos internacionales, las normativas sobre emisiones de CO2 o la pandemia del coronavirus para conseguir que sus víctimas abran los documentos nocivos.
La esteganografía como camuflaje
La principal carga útil maliciosa se encubre mediante esteganografía, que permite a los atacantes ocultar datos entre contenido legítimo. En el caso de PowerPepper, el código malicioso se incrusta en imágenes aparentemente normales de helechos o pimientos (consulte la denominación en inglés "pepper") y luego se extrae mediante un script de carga. Después de eso, PowerPepper comienza a ejecutar comandos de shell remotos que recibe de los actores de DeathStalker con el objetivo de robar información comercial confidencial. El malware puede ejecutar cualquier comando de shell en el sistema de destino, incluidos los de reconocimiento de datos estándar, como recopilar información de archivos y usuarios de la computadora, explorar recursos compartidos de archivos de red y descargar archivos binarios adicionales o copiar contenido en ubicaciones remotas. Los comandos se recuperan del servidor de control utilizando DNS sobre comunicación HTTPS, un método efectivo para ocultar comunicaciones maliciosas detrás de consultas de nombres de servidores legítimos.
Obtenga más información sobre la SecureList de Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/