El actor de APT, DeathStalker, apunta a empresas en el mercado de divisas y criptomonedas. El conjunto de herramientas de tecnología evasiva y sigilo "VileRAT" se distribuye a través de spear phishing. Las empresas en Alemania también se ven afectadas por los ataques.
El actor de amenazas DeathStalker ha actualizado su conjunto de herramientas de tecnología y evasión sigilosa "VileRAT" para atacar negocios de criptomonedas y de cambio de divisas, según muestra un análisis reciente de Kaspersky. Las organizaciones atacadas están ubicadas en Bulgaria, Chipre, Alemania, Kuwait, Malta, Emiratos Árabes Unidos, Rusia y las Granadinas.
Actor APT de hack-for-hire
DeathStalker es un actor de APT contratado por contrato cuyas actividades Kaspersky ha estado rastreando desde 2018. Hasta ahora, se ha centrado principalmente en bufetes de abogados y organizaciones del sector financiero; los ataques no parecían tener motivaciones políticas ni financieras. Los expertos de Kaspersky creen que DeathStalker actúa como una especie de grupo mercenario que ofrece servicios especializados de piratería o inteligencia financiera. A mediados de 2020, Kaspersky pudo identificar una infección nueva y altamente evasiva basada en el implante Python "VileRAT". Desde entonces, los expertos han estado siguiendo de cerca las actividades del jugador y señalaron que en 2022 se centrará intensamente en las empresas de comercio de divisas (FOREX) y criptomonedas en todo el mundo.
VileRAT generalmente se implementa después de una cadena de infección complicada que comienza con correos electrónicos de phishing selectivo. Este verano, los atacantes también utilizaron chatbots integrados en los sitios web públicos de las empresas afectadas para enviar documentos maliciosos. Los documentos DOCX suelen estar marcados con las palabras clave "Cumplimiento" o "Queja" (y el nombre de la empresa de destino) y pretenden ser respuestas a supuestas solicitudes de identificación o informes de problemas.
Herramientas refinadas que se camuflan
La campaña VileRAT se destaca por la sofisticación de las herramientas utilizadas y la enorme infraestructura maliciosa detrás de ella (en comparación con las actividades de DeathStalker documentadas anteriormente), las numerosas técnicas de ofuscación utilizadas durante la infección, así como su actividad continua y sostenida desde 2020. La campaña actual muestra que DeathStalker hace todo lo posible para ganar y luego obtener acceso a sus objetivos. Los posibles objetivos de los ataques van desde la diligencia debida, la recuperación de activos, la asistencia en litigios o arbitraje hasta la elusión de sanciones; la ganancia financiera directa todavía no parece ser parte de ella.
VileRaT no muestra ningún interés particular en países específicos; en cambio, los investigadores de Kaspersky informan sobre organizaciones afectadas en Bulgaria, Chipre, Alemania, Kuwait, Malta, los Emiratos Árabes Unidos, Rusia y las Granadinas. Las organizaciones identificadas son de todos los tamaños, desde nuevas empresas recién formadas hasta líderes industriales establecidos.
engañar, camuflar, esconder
"El objetivo de DeathStalker siempre ha sido evadir la detección", explica Pierre Delcher, investigador sénior de seguridad en el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. “La campaña VileRAT ahora ha llevado todo a un nuevo nivel. En términos de complejidad y ofuscación, es sin duda la campaña más exigente que hemos visto de este jugador. Las tácticas y prácticas de DeathStalker son efectivas para atacar objetivos más fáciles. Es posible que no tengan la experiencia suficiente para resistir un ataque de este tipo, que no hayan hecho de la seguridad una prioridad principal para su organización o que interactúen con frecuencia con terceros que aún no lo han hecho”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/